Сообщений в теме: 15

[Sinful]

Поймали шифровальщик. win server 12, никаких флешек, минимальный выход в интернет, для обновления антивируса и 1с. в итоге антивирус вырубился. и зачем мы только берем  касперкий на 100+ ключей???

в общем и целом, 1с вроде восстановил, но что дальше будет, всеми возможными утилитами проверил. будет ли он распространятся или у него одноразовое действие. сносить ос или же можно оставить????

Прикрепленные файлы

•  bn7D5jGZkZE.jpg   136,99К   скачиваний 0
•  O7cT5w7U3Vs.jpg   281,63К   скачиваний 0

[Sandor]

Здравствуйте!

Порядок оформления запроса о помощи

[Sinful]

1.

• Kaspersky Virus Removal Tool 2015; проверено
• Dr.Web CureIt!. проверено

2 прикрепил

 3 зашифрованы файлы в основном относящиеся к 1с, так же был поврежден загрузочник ОС (восстановил стандартным восстановлением ОС), переустановил 1с в туже папку что и была, база работает, все открывается. отключил сервер от интернета. что дальше? можно ли вылечить? будет ли распространятся если включить сеть обратно? п.с. загрузочные файлы касперского пали еще вчера, сглупил и не обратил на это внимания. просто сделал восстановление и все. то есть вирус убил антивирус. п.п.с. затронут только диск С

Прикрепленные файлы

•  CollectionLog-2019.01.18-12.10.zip   41,86К   скачиваний 2

Сообщение отредактировал Sinful: 18 Январь 2019 - 12:26

[Sandor]

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat

Если файл

C:\Windows\IME\IMEB\exp.bat

существует, упакуйте его в архив с паролем и пришлите мне в ЛС.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Sinful]

файлы, п.с. что ту у меня мозг похоже совсем отключился, не могу найти в лс прикрепление файлов,

Прикрепленные файлы

•  Addition.txt   23,58К   скачиваний 1
•  FRST.txt   20,75К   скачиваний 1

Сообщение отредактировал Sinful: 18 Январь 2019 - 13:00

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  IFEO\sethc.exe: [Debugger] C:\\Windows\\IME\\IMEB\\exp.bat
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Если файл C:\Windows\IME\IMEB\exp.bat существует

Вы ничего не ответили. Надо понимать, что файла нет?

[Sinful]

 

существует, упакуйте его в архив с паролем и пришлите мне в ЛС.

 

 

не могу найти в лс прикрепление файлов

и еще, важна ли последовательность действий, сначало пофиксить, потом файл exp, потом фарбар.???

да файл exp.bat есть

fixlog

Прикрепленные файлы

•  Fixlog.txt   699байт   скачиваний 1

[Sandor]

Да, последовательность важна. Файл всё ещё жду.

[Sinful]

Да, последовательность важна. Файл всё ещё жду.

exp до

exp posle  после выполнения действий

Прикрепленные файлы

•  exp.7z   1,25К   скачиваний 1
•  exp posle.7z   1,25К   скачиваний 0

Сообщение отредактировал Sinful: 18 Январь 2019 - 13:45

[Sandor]

Сделайте ещё раз контрольный CollectionLog Автологером.

и зачем мы только берем  касперкий на 100+ ключей???

Злоумышленник имел физический доступ к серверу.

Тот файл можете удалить.

[Sinful]

Сделайте ещё раз контрольный CollectionLog Автологером.
 

и зачем мы только берем  касперкий на 100+ ключей???

Злоумышленник имел физический доступ к серверу.

Тот файл можете удалить.

 

так, а вот это уже интересно, можно какие то подробности??? и как это исправить??? насчет 100 ключей, "извиняюсь", был на нервах.

[Sandor]

можно какие то подробности?

http://winitpro.ru/i...xoda-v-windows/

как это исправить?

Мы это уже проделали. Только жду

контрольный CollectionLog

[Sinful]

а что с не читаемыми файлами с расширением crash???

и узнать когда именно был вход злоумышленника нельзя?

Прикрепленные файлы

•  CollectionLog-2019.01.18-14.21.zip   41,58К   скачиваний 2

Сообщение отредактировал Sinful: 18 Январь 2019 - 14:55

[Sandor]

когда именно был вход злоумышленника

2019-01-18 03:25

что с не читаемыми файлами с расширением crash?

Пару таких документов вместе с запиской с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению.

[Sinful]

пароль тот же

Прикрепленные файлы

•  primer.7z   34,35К   скачиваний 1