Перейти к содержимому


Фотография
- - - - -

omerta34@goat.si

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 5

#1 OFF   michael.sidorovich

michael.sidorovich

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 23 Февраль 2019 - 13:21

Добрый день.

 

У меня на сервере объявился шифровальщик файлов.Проверка KVRT нашла и удалила файл "winupmgr.exe". Как теперь расшифровать рабочие файлы? 

Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении.


  • 0

#2 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21 584

Награды

           

Отправлено 23 Февраль 2019 - 13:26

Лог файл от AVZ (autologger test) и один из зараженных файлов прикреплены во вложении.

После выбора файлов для загрузки нужно нажать кнопку "загрузить"


  • 0

#3 OFF   michael.sidorovich

michael.sidorovich

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 23 Февраль 2019 - 22:20

перезагрузил лог файл

Прикрепленные файлы


Сообщение отредактировал michael.sidorovich: 23 Февраль 2019 - 22:21

  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 540

Награды

           

Отправлено 23 Февраль 2019 - 23:41

Выполните скрипт в AVZ из папки Autologger
begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\users\kaa\appdata\roaming\winupmgr.exe');
 QuarantineFile('c:\users\kaa\appdata\roaming\winupmgr.exe','');
 DeleteFile('c:\users\kaa\appdata\roaming\winupmgr.exe','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','360safeuninst_1f0fb7c2d13cc0c07ff2ca40747bc03e','x32');
 DeleteFile('C:\Windows\winstart.bat','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x32');
 DeleteFile('C:\Users\kaa\Инструкция по расшифровке.TXT','32');
 DeleteFile('C:\Users\kaa\AppData\Roaming\winupmgr.exe','32');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Manager','x64');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3844221442-3570148503-2252581625-1009\Software\Microsoft\Windows\CurrentVersion\Run','RnjKT','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после выполнения скрипта.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   michael.sidorovich

michael.sidorovich

    Новичок

  • Новички
  • Cообщений: 3

Отправлено 25 Февраль 2019 - 12:50

после перезагрузки,сервер "упал" не загружается,поврежден Boot manager.система не грузиться..


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 540

Награды

           

Отправлено 25 Февраль 2019 - 17:04

Скорее всего зашифроваными оказались и файлы необходимые для нормальной загрузки. Увы, так бывает для некоторых шифраторов, и предвидеть это невозможно.

Тут или пробовать откат на точку восстановления до шифрования, или переустановка сервера.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных