andrey20021964 0 Опубликовано 9 января, 2019 Share Опубликовано 9 января, 2019 зашифрован сервер полностью, стоял 360 total security, остальные компьютеры в сети не пострадали CollectionLog-2019.01.09-17.35.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 января, 2019 Share Опубликовано 9 января, 2019 Автологер ведь предупредил, что: Логи сделаны в терминальной сессии, сделайте их из консоли. Цитата Ссылка на сообщение Поделиться на другие сайты
andrey20021964 0 Опубликовано 9 января, 2019 Автор Share Опубликовано 9 января, 2019 как это делается? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 9 января, 2019 Share Опубликовано 9 января, 2019 Топаете к серверу и собираете на нём логи. Цитата Ссылка на сообщение Поделиться на другие сайты
andrey20021964 0 Опубликовано 9 января, 2019 Автор Share Опубликовано 9 января, 2019 я прошу прощения, мне раньше не приходилось этого делать. на самом сервер все администрирование зашифровано. Как это сделать при помощи автологера? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 января, 2019 Share Опубликовано 9 января, 2019 При помощи Автологера вам нужно собрать отчет CollectionLog, только запускать Автологер нужно не из терминальной сессии, а непосредственно на самом сервере. Цитата Ссылка на сообщение Поделиться на другие сайты
andrey20021964 0 Опубликовано 9 января, 2019 Автор Share Опубликовано 9 января, 2019 вообще то я так и делал завтра попробую в безопасном режиме Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 января, 2019 Share Опубликовано 9 января, 2019 вообще то я так и делалВообще-то нет. Вы подключились к серверу через RDP (Удаленный доступ) и там запустили Автологер. AVZ запущен из терминальной сессии (RDP-Tcp#0) А нужно это же проделать, только на самом сервере, без терминального подключения. И не из безопасного, а из нормального режима нужны логи. Цитата Ссылка на сообщение Поделиться на другие сайты
andrey20021964 0 Опубликовано 9 января, 2019 Автор Share Опубликовано 9 января, 2019 Нет. я делал все на самом сервере. я пользуюсь удаленным рабочим столом, но не в этот раз. хорошо завтра попробую еще раз Цитата Ссылка на сообщение Поделиться на другие сайты
andrey20021964 0 Опубликовано 10 января, 2019 Автор Share Опубликовано 10 января, 2019 dr web cureit нашел сам вирус vera.exe. Он вам не нужен? я хотел сказать зараженный объект, конечно. Вирус Trojan.Encoder.3953v4+ шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe CollectionLog-2019.01.10-11.34.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 января, 2019 Share Опубликовано 10 января, 2019 Он вам не нужен?Нет.Проверку cureit делали до сбора логов или после? Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\vera.exe', ''); QuarantineFile('C:\Windows\reg\REBE1l.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\vera.exe', '64'); DeleteFile('C:\Windows\reg\REBE1l.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^vera.exe', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^vera.exe', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vera.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
andrey20021964 0 Опубликовано 10 января, 2019 Автор Share Опубликовано 10 января, 2019 согласно порядку оформления запроса о помощи до сбора логов Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 января, 2019 Share Опубликовано 10 января, 2019 Ясно, продолжайте. Цитата Ссылка на сообщение Поделиться на другие сайты
andrey20021964 0 Опубликовано 10 января, 2019 Автор Share Опубликовано 10 января, 2019 шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe CollectionLog-2019.01.10-14.53.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 января, 2019 Share Опубликовано 10 января, 2019 "Пофиксите" в HijackThis: O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta" O4 - MSConfig\startupreg: Desktop Lock Express [command] = C:\Users\Администратор\Desktop\TicTac.exe /B (HKCU) (2019/01/09) (file missing) O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\reg\REBE1l.exe (file missing) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.