Добрый день! Еще вчера все работало, а сегодня утром обнаружили последствия работы шифровальщика..
Прикрепленные файлы
-
CollectionLog-2018.07.09-09.57.zip 72,16К
скачиваний 2
-
how_to_back_files.7z 112байт
скачиваний 2
Поймали шифровальщик .Gust
Автор
Dmitriy2018
, 09 июл 2018 09:51
Друзья!
В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.
Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
Сообщений в теме: 6
#3
OFF
regist
-
-
Консультанты 
Старожилы-
- Cообщений: 6 254
Айболит-2010
Отправлено 09 Июль 2018 - 10:57
1) Логи сделаны в терминальной сессии, сделайте их из консоли.
2) how_to_back_files.7z - внутри пустой файл, но скорее всего с рассшифровкой помочь не сможем. Только дочистить следы.
#4
OFF
Dmitriy2018
-
-
Новички
- Cообщений: 2
Новичок
Отправлено 09 Июль 2018 - 14:25
Логи переснял
Прикрепленные файлы
-
CollectionLog-2018.07.09-13.59.zip 72,31К
скачиваний 2
-
how_to_back_files.7z 2,17К
скачиваний 2
-
зашифрованные файлы.7z 20,19К
скачиваний 1
#5
OFF
Отправлено 09 Июль 2018 - 14:57
Это GlobeImposter 2.0, расшифровки нет.
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
После перезагрузки, выполните такой скрипт:
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '');
QuarantineFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '');
QuarantineFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '32');
DeleteFile('C:\Users\Administrator.VMS\AppData\Local\svchost.exe', '64');
DeleteFile('C:\Users\Administrator.VMS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'BrowserUpdateCheck');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.После перезагрузки, выполните такой скрипт:
begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
Участники
#7
OFF
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
