Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Похоже удаленно зашли на комп и "запаролили" файлы 1с в архив.

taranoff
 Поделиться

Рекомендуемые сообщения

taranoff

taranoff

Опубликовано
Опубликовано

с помощью net.worm.win32.morto.a "злодей" зашел на комп, удалил архивные копии и запаролил файлы в архив 1с.rar

каспером и др.вебером проверил комп - др.вирусов не нашел.

запустил Autologer

 

можно что-нить сделать? :oh:

CollectionLog-2016.05.17-11.43.zip

mike 1

mike 1

Опубликовано
Опубликовано
  1. Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

mike 1

mike 1

Опубликовано
Опубликовано
 


 




;uVS v3.87 [http://dsrt.dyndns.org]

;Target OS: NTv5.2

v385c

breg

 

unload %Sys32%\RESIDENT\FSPROFLT2.EXE REMINDER.EXE UPDATER.EXE WAHIVER.EXE WAHIVER64.EXE WASP.EXE WASPWING.EXE WIZARD.EXE WMIC.EXE WMIC.EXE.EXE

delall %Sys32%\RESIDENT\FSPROFLT2.EXE REMINDER.EXE UPDATER.EXE WAHIVER.EXE WAHIVER64.EXE WASP.EXE WASPWING.EXE WIZARD.EXE WMIC.EXE WMIC.EXE.EXE


 

Перезагрузите сервер. Сделайте новый лог uVS.

taranoff

taranoff

Опубликовано
  • Автор
Опубликовано

сделал повторный лог после выполнения скрипта, но до перезагрузки.

т.к. после перезагрузки - "синий" экран как в обычном режиме, так и в безопасном(

SERVER-1C_2016-05-17_15-31-51.7z

mike 1

mike 1

Опубликовано
Опубликовано

Ставьте обновления на сервер и меняйте пароли на более стойкие, а то опять залезут через RDP. С разархивацией не поможем.

taranoff

taranoff

Опубликовано
  • Автор
Опубликовано

Ставьте обновления на сервер и меняйте пароли на более стойкие, а то опять залезут через RDP. С разархивацией не поможем.

а можно скриптик чтобы вернуть работу сервера?

а то после последнего выдает синий экран)))

mike 1

mike 1

Опубликовано
Опубликовано

 

 

а то после последнего выдает синий экран

Скриншот сделайте.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • iceman91
      RAR архивы с паролем
      Автор iceman91
      В один из дней на серваке в примерно 650 папках все файлы типа doc jpg pdf и тд стали архивами с паролем и в этих же папках создалось по текстовому документу с описанием и требованием 10к рублей. Подозреваю, что кто то принял "нехорошее" письмо, так как эта штука разошлась только по общим папкам отделов..
      CollectionLog-2015.02.09-18.03.zip
    • iceman91
      RAR архив с паролем
      Автор iceman91
      Добрый день, случилась беда на сервере, в 650 папках появился текстовый файл с предложением заплатить 10к рублей за пасс от архива.. как это можно победить? уже очень много нужных файлов испортилось..

      соответственно были заархивированы все файлы doc, pdf, jpg и тд, которые есть в папке с этими файлами 
    • Евгений Гадюков
      Вирус заархивировал на сервере базы 1с и сетевые папки
      Автор Евгений Гадюков
      Здравствуйте! Вообщем проблема такая, вирус заархивировал все базы 1с на сервере и все сетевые папки и бэкапы системы,  на диске появился архив с названием папки баз 1с в котором все содержимое дисков, архив запоролен и папка ~ERAFSWD.TMP. Что дальше делать не знаем. Помогите восстановить данные.
    • egor_ka8
      Вирус-шифровальщик в rar архивы
      Автор egor_ka8
      Здравствуйте. 17.10.16 в 7:11 был запущен вирус-шифровальщик. В системе появился пользователь administrator, где в папке пользователя Roaming лежали вирусные файлы. Все зашифрованные файлы имеют расширение exe и формат sfx rar. 
      В интернете было написано, что это возможен вариант программы, которая генерирует пароль по времени его запуска. Почта, которая там написана - не работает. Имеем в виду, что услуга платная, если есть какие то шансы.
      зашифрованные файлы.rar
      CollectionLog-2016.10.18-13.21.zip
    • panda7007
      Вирус заархивировал в вин рар с паролем
      Автор panda7007
      Здравствуйте!
      Вирус заархивировал папку рабочего стола, папку с базами 1с, и еще 1 папку в три архива и создал на диске д текстовые файлы со следущим содержимым
        Внимание! Ваши данные заархивированы с паролем, использование их невозможно. Для получения пароля к архиву от вас требуется оплата 19000р на Bitcoin кошелек (инструкции по оплате вам будут выданы после вашего обращения). При согласии напишите на почту    rob1111stewar@hotmail.com  , указав в обращении IP адрес вашего сервера (внешний, его можно узнать, открыв сайт 2ip.ru).  IP адрес необходим для выдачи вам вашего персонального пароля от архивов. Также вам будут даны подробные рекомендации по устранению недостатков в безопасности сервера, во избежания подобных ситуаций в будущем.   прикрепляю  файл логов AVZ 
×
×
  • Создать...