Перейти к содержимому


Фотография
- - - - -

Шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 15

#1 OFF   Sinful

Sinful

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Январь 2019 - 11:13

Поймали шифровальщик. win server 12, никаких флешек, минимальный выход в интернет, для обновления антивируса и 1с. в итоге антивирус вырубился. и зачем мы только берем  касперкий на 100+ ключей???


в общем и целом, 1с вроде восстановил, но что дальше будет, всеми возможными утилитами проверил. будет ли он распространятся или у него одноразовое действие. сносить ос или же можно оставить????

Прикрепленные файлы


  • 0

#2 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 233

Отправлено 18 Январь 2019 - 12:01

Здравствуйте!

Порядок оформления запроса о помощи
  • 0
Изображение

#3 OFF   Sinful

Sinful

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Январь 2019 - 12:25

1.

2 прикрепил

 3 зашифрованы файлы в основном относящиеся к 1с, так же был поврежден загрузочник ОС (восстановил стандартным восстановлением ОС), переустановил 1с в туже папку что и была, база работает, все открывается. отключил сервер от интернета. что дальше? можно ли вылечить? будет ли распространятся если включить сеть обратно? п.с. загрузочные файлы касперского пали еще вчера, сглупил и не обратил на это внимания. просто сделал восстановление и все. то есть вирус убил антивирус. п.п.с. затронут только диск С

Прикрепленные файлы


Сообщение отредактировал Sinful: 18 Январь 2019 - 12:26

  • 0

#4 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 233

Отправлено 18 Январь 2019 - 12:34

"Пофиксите" в HijackThis:

O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat
Если файл

C:\Windows\IME\IMEB\exp.bat

существует, упакуйте его в архив с паролем и пришлите мне в ЛС.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   Sinful

Sinful

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Январь 2019 - 12:52

файлы, п.с. что ту у меня мозг похоже совсем отключился, не могу найти в лс прикрепление файлов,

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   23,58К   скачиваний 1
  • Прикрепленный файл  FRST.txt   20,75К   скачиваний 1

Сообщение отредактировал Sinful: 18 Январь 2019 - 13:00

  • 0

#6 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 233

Отправлено 18 Январь 2019 - 13:06

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    IFEO\sethc.exe: [Debugger] C:\\Windows\\IME\\IMEB\\exp.bat
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.


Если файл C:\Windows\IME\IMEB\exp.bat существует

Вы ничего не ответили. Надо понимать, что файла нет?
  • 0
Изображение

#7 OFF   Sinful

Sinful

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Январь 2019 - 13:22

 

существует, упакуйте его в архив с паролем и пришлите мне в ЛС.

 

 

не могу найти в лс прикрепление файлов

и еще, важна ли последовательность действий, сначало пофиксить, потом файл exp, потом фарбар.???

да файл exp.bat есть


fixlog

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   699байт   скачиваний 1

  • 0

#8 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 233

Отправлено 18 Январь 2019 - 13:32

Да, последовательность важна. Файл всё ещё жду.
  • 0
Изображение

#9 OFF   Sinful

Sinful

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Январь 2019 - 13:44

Да, последовательность важна. Файл всё ещё жду.

exp до

exp posle  после выполнения действий

Прикрепленные файлы

  • Прикрепленный файл  exp.7z   1,25К   скачиваний 1
  • Прикрепленный файл  exp posle.7z   1,25К   скачиваний 0

Сообщение отредактировал Sinful: 18 Январь 2019 - 13:45

  • 0

#10 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 233

Отправлено 18 Январь 2019 - 13:59

Сделайте ещё раз контрольный CollectionLog Автологером.

и зачем мы только берем  касперкий на 100+ ключей???

Злоумышленник имел физический доступ к серверу.

Тот файл можете удалить.
  • 0
Изображение

#11 OFF   Sinful

Sinful

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Январь 2019 - 14:01

Сделайте ещё раз контрольный CollectionLog Автологером.
 

и зачем мы только берем  касперкий на 100+ ключей???

Злоумышленник имел физический доступ к серверу.

Тот файл можете удалить.

 

так, а вот это уже интересно, можно какие то подробности??? и как это исправить??? насчет 100 ключей, "извиняюсь", был на нервах.


  • 0

#12 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 233

Отправлено 18 Январь 2019 - 14:04

можно какие то подробности?

http://winitpro.ru/i...xoda-v-windows/

как это исправить?

Мы это уже проделали. Только жду

контрольный CollectionLog


  • 0
Изображение

#13 OFF   Sinful

Sinful

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Январь 2019 - 14:54

а что с не читаемыми файлами с расширением crash???


и узнать когда именно был вход злоумышленника нельзя?

Прикрепленные файлы


Сообщение отредактировал Sinful: 18 Январь 2019 - 14:55

  • 0

#14 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 233

Отправлено 18 Январь 2019 - 15:14

когда именно был вход злоумышленника

2019-01-18 03:25

что с не читаемыми файлами с расширением crash?

Пару таких документов вместе с запиской с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению.
  • 0
Изображение

#15 OFF   Sinful

Sinful

    Новичок

  • Новички
  • Cообщений: 8

Отправлено 18 Январь 2019 - 15:26

пароль тот же

Прикрепленные файлы

  • Прикрепленный файл  primer.7z   34,35К   скачиваний 1

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных