Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Шифровальщик [DecodeGuide@Keemail.Me].harma

harma

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 9

#1 OFF   SergeF

SergeF

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 19 February 2020 - 15:49

Добрый день, зашифровались данные на сервере. Руками почистил заразу загрузившись  с LiveCD. Проделал процедуры из http://forum.kaspers...showtopic=43640 Прошу посмотреть логи сделанные сборщиком логов может что то упустил.

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 19 February 2020 - 16:08

Здравствуйте!

Руками почистил заразу

Активного заражения не видно. Но видны следы вероятно некорректного удаления KSC и Агента администрирования.
  • 0
Изображение

#3 OFF   SergeF

SergeF

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 19 February 2020 - 17:07

Здравствуйте!
 

Руками почистил заразу

Активного заражения не видно. Но видны следы вероятно некорректного удаления KSC и Агента администрирования.

 

На этом сервере стоял KSC 10 и соответственно агент администрирования. Сам его ещё не удалял, буду устанавливать снова. Может подхватятся какие нибудь конфиги. Хотя я в этом сильно сомневаюсь


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 19 February 2020 - 17:11

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

стоял KSC 10

Устаревшая версия. Ставьте актуальную 11.
Только вы же понимаете, что это центр управления, а не защита самого сервера. Дополнительно следует ещё установить KES или KSWS.
  • 0
Изображение

#5 OFF   SergeF

SergeF

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 19 February 2020 - 17:22

Ставьте актуальную 11.

 

Поставлю актуальную

 

Файлы лога прикрепляю

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   28.47К   скачиваний 1
  • Прикрепленный файл  FRST.txt   8.4К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 19 February 2020 - 17:26

Отчёт FRST.txt получился неполный. Переделайте, пожалуйста.


  • 0
Изображение

#7 OFF   SergeF

SergeF

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 19 February 2020 - 17:31

Прогнал ещё раз, актуальные файлы во вложении

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   72.13К   скачиваний 1
  • Прикрепленный файл  Addition.txt   29.43К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 19 February 2020 - 17:58

C:\Users\admin\AppData\Roaming\Wise Registry Cleaner - старайтесь не пользоваться подобными чистильщиками.

Ярлыки запуска программ придется пересоздать вручную. Ориентироваться можете по отчету Check_Browsers_LNK.log из Автологера.

Пароль на RDP смените.
Проверьте уязвимые места:
Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
  • 0
Изображение

#9 OFF   SergeF

SergeF

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 19 February 2020 - 18:08

C:\Users\admin\AppData\Roaming\Wise Registry Cleaner

 

Я не пользовался им, возможно кто то это делал до меня

 

Спасибо за рекомендации по AVZ


Сообщение отредактировал SergeF: 19 February 2020 - 18:09

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11688

Отправлено 19 February 2020 - 18:10

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".


  • 0
Изображение





Темы с аналогичными тегами: harma

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных