Вирус-шифровальщик (DA_VINCHI) заразил server 2000

[aleks-oren 0]

Проверку сделал!

LOG.7z

[Sandor 1 253]

Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Соберите и прикрепите свежий CollectionLog

[aleks-oren 0]

Свежий лог Autologger

CollectionLog-2016.10.27-16.20.zip

[Sandor 1 253]

1. Уточните, пожалуйста, операции выполняете непосредственно из консоли или подключаетесь через терминальную сессию?

 

2. Есть ли пароль на вход в систему? Если нет, установите сложный.

 

3. 

>> Задано сообщение, выводимое в ходе загрузки

>> Заблокированы настройки системы Windows Update

Это Ваши настройки?

 

4. Обновления Windows устанавливались?

 

5.

• Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
• Запустите файл TDSSKiller.exe.
• Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
• В процессе проверки могут быть обнаружены объекты двух типов:
  • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
  • подозрительные (тип вредоносного воздействия точно установить невозможно).
• По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
• Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
• Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
• Самостоятельно без указания консультанта ничего не удаляйте!!!
• После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
• Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

 

 

6. Уточните, после работы Kido Killer компьютер перезагружали?

Изменено 27 октября, 2016 пользователем Sandor

[aleks-oren 0]

^{1.  Операции выполняю из консоли,  графический интерфейс.}

^{2. Пароль простой состоит из 6 цифр.}

^{3. Настройки не мои.}

^{4. Обновления Windows не устанавливались. Установлен пакет обновлений sp4.}

^{5. Выполнить смогу завтра.}

^{6. После работы Kido Killer компьютер не перезагружал.}

 

[Sandor 1 253]

Пароль простой состоит из 6 цифр

Измените на сложный.

 

После работы Kido Killer компьютер не перезагружал

Перезагрузите.

[aleks-oren 0]

Компьютер перезагрузил.

Не могу запустить программу, TDSSKiller.exe не является приложением win32

Изменено 28 октября, 2016 пользователем aleks-oren

[Sandor 1 253]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('D:\Program Files\Sable\WINNT\delnt.bat', '');
 QuarantineFile('D:\Program Files\Sable\WINNT\instnt.bat', '');
 QuarantineFile('D:\Program Files\Sable\WINNT\startnt.bat', '');
 QuarantineFile('C:\mynet\mynet.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

 

 

Сделайте такой лог.

 

 

Обновления Windows не устанавливались. Установлен пакет обновлений sp4

Установите обновления. Без этого дальнейшее лечение не эффективно. Изменено 28 октября, 2016 пользователем Sandor

[aleks-oren 0]

Обновления установились!

 Скрипт выполнил, quarantine.zip отправил!

Логи прикрепляю!

Check_Browsers_LNK.log

Errors.log

Изменено 28 октября, 2016 пользователем aleks-oren

[Sandor 1 253]

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyParamDel('HKEY_CLASSES_ROOT','exefile\shellex\DropHandler','{86C86720-42A0-1069-A2E8-08002B30309D}');
 RegKeyParamWrite('HKEY_CLASSES_ROOT','exefile\shellex\DropHandler','','REG_SZ','{86C86720-42A0-1069-A2E8-08002B30309D}');
end.

Вручную перезагрузите компьютер. Попробуйте запустить FRST.

[aleks-oren 0]

Скрипт выполнил, компьютер перезагрузил.

FRST не запускается - не является приложением win32

На этом сервере установлена программа 1С. Можно ли работать в этой программе в режиме удаленного рабочего стола?

Изменено 31 октября, 2016 пользователем aleks-oren

[Sandor 1 253]

Карантин от Вас так и не пришел. Повторите, пожалуйста, его отправку.

 

Подготовьте и прикрепите такой лог.

 

Заново скачайте и сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

 

Можно ли работать в этой программе в режиме удаленного рабочего стола?

До окончания лечения - не желательно.

[aleks-oren 0]

Прошу уточнить, какой карантин необходимо отправить?

[Sandor 1 253]

Из сообщения №23

[aleks-oren 0]

Письмо на почту nowahelp@gmail.com отправил 28.10.2016

В теме письма: Вирус-шифровальщик (DA_VINCHI) заразил server 2000

 

Продублировал письмо еще раз и прикрепил карантин к этому сообщению.

 

Прикрепляю логи.

 

Строгое предупреждение от модератора Mark D. Pearlstone

Не отправляйте карантин на форум.

Check_Browsers_LNK.log

Errors.log

log.txt