Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

Зашифрованы все офисные и текстовые файлы в виде mJC13dOHPNuKgQoLM8auqw==.04A0A0F254DC47C59B99.da_vinci_code и конечно же появились файлы README.

 

С огромным уважением))

CollectionLog-2016.05.16-15.26.zip

README.zip

Ссылка на комментарий
Поделиться на другие сайты

Ну и кто на сервере запустил шифровальщик?

 

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Ссылка на комментарий
Поделиться на другие сайты

Как маленькие дети прям. 

 

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).
 
Файлы: 20
Worm.AutoRun, C:\WINDOWS\system32\6F786E\dp1.fne, , [10836e68b4e5b97d08cdd5403ec6ae52], 
Worm.AutoRun, C:\WINDOWS\system32\6F786E\eAPI.fne, , [a1f204d2fe9b0a2caf1fee27d52f02fe], 
Trojan.Agent, C:\WINDOWS\system32\6F786E\internet.fne, , [b4df2ea8e2b77db95aabe70753b04ab6], 
Trojan.Agent, C:\WINDOWS\system32\6F786E\krnln.fnr, , [ade66e683a5f0135d4c02fcc5ba86d93], 
Worm.AutoRun, C:\WINDOWS\system32\6F786E\RegEx.fnr, , [a8ebd2045c3d2d095355797f857c2cd4], 
 
Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
 
Ссылка на комментарий
Поделиться на другие сайты

Хороший у вас бухгалтер с правами админа сидит.

 

Антивирус Касперского 6.0 для Windows Servers (HKLM\...\{1B419CE6-A1AA-4207-8581-A414BE9C7B85}) (Version: 6.0.4.1424 - Лаборатория Касперского)

Антивирус уже давно снят с поддержки. К нему и базы уже не выпускают. Обновляйтесь до KES 10! Переход на новую версию бесплатный.
 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
HKLM\...\Policies\Explorer\Run: [pwldnafvgqer] => C:\DOCUME~1\buh1\LOCALS~1\Temp\ymihysebtkfzkouetzg.exe
HKLM\...\Policies\Explorer\Run: [scupcsathulbiik] => navtjcnjaqkdnqvesx.exe
2016-05-12 21:30 - 2016-05-12 21:30 - 03888054 _____ C:\Documents and Settings\buh1\Application Data\75EDC3D075EDC3D0.bmp
2016-05-12 14:21 - 2016-05-13 11:03 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2012-09-07 09:43 - 2012-09-07 09:43 - 0004088 ____H () C:\Program Files\owmfqekbnynbgeeirrsbjzsdrxoalaotrrv.efo
2012-09-07 09:45 - 2012-09-07 16:39 - 0001016 ____H () C:\Program Files\pwldnafvgqervsrucbbjqfxhuzpakylpml.wvv
2012-09-07 09:44 - 2012-09-07 16:38 - 0000316 ____H () C:\Program Files\scupcsathulbiikqbdgrbtobrzsgtkahhjpac.qas
2012-09-07 09:44 - 2012-09-07 09:44 - 0000073 ____H () C:\Program Files\xibxlclfuiarzadkwzdpatpdudxmasjrsvcorv.slh
2012-09-07 09:43 - 2012-09-07 16:39 - 0000272 ____H () C:\Program Files\fchppsntuuybvixqodtrotbb.zfg
C:\Documents and Settings\buh1\Local Settings\Temp\2SKKKKKKK.exe
Task: C:\WINDOWS\Tasks\At1.job => C:\WINDOWS\system32\drivers\etc\hosts && copy C:\DOCUME~1\buh1\LOCALS~1\Temp\31582562aq C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hostsSYSTEMСоставлено NetScheduleJobAdd.0ߝÙ㹶쀕Ꮳ␿揵勒畮쉯鈂ꨇ鬺἟⁡僗৻篳띏ŰߺⲐ祪쑺ㄶ함㿌蒊围譅㯨ᘻ <==== ATTENTION
Task: C:\WINDOWS\Tasks\At2.job => C:\WINDOWS\system32\drivers\etc\hosts && copy C:\DOCUME~1\buh1\LOCALS~1\Temp\31642468aq C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hostsSYSTEMСоставлено NetScheduleJobAdd.0ߝÙ윉雦显䀀몈ރ桿婝躈赀璟渾ꗮ쮡⡌狺힬ꃣ㘳鉉砂✏覘担촨 <==== ATTENTION
Hosts:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\owmfqekbnynbg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rpcsrv]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\xibxlclfuiarzadk]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ymihysebtkfzkouetzg]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{AB7B4DC3-6E1F-7E15-7235-0AA0D1B36AF8}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{C111931F-A8D0-1824-A1EB-C7159B3A6902}]
StandardProfile\AuthorizedApplications: [C:\WINDOWS\system32\svchost.exe] => Enabled:Windows Debugger 32
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
 
 
Ссылка на комментарий
Поделиться на другие сайты

Злоумышленники очень любят таких как Вы потому что с тех, кто халатно относится к информационной безопасности можно стряхнуть неплохие деньги за человеческую глупость. У вас мало того, что антивирус установлен, который уже снят с поддержки, так еще совершенно безобразным образом настроены права у обычных пользователей. Бухгалтер должен сидеть с правами пользователя, а сидит с правами админа. Мне если честно некоторых таких пользователей не жалко. 

 

Пишите запрос  http://forum.kasperskyclub.ru/index.php?showtopic=48525

 

Для повышения уровня компьютерной грамотности ознакомьтесь с этим:
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • ad_art
      От ad_art
      Здравствуйте, требуется помощь в расшифровке файлов.
      Прилагаю образец вируса в запароленном архиве, ключи реестра содержащие данные для шифрации.
      First.txt Addition.txt Зашифрованные файлы.7z Оригинальные файлы.7z virus_sample.7z Требования вируса.7z reg_keys.7z
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
×
×
  • Создать...