Перейти к содержанию

Похоже удаленно зашли на комп и "запаролили" файлы 1с в архив.

taranoff
 Поделиться

Рекомендуемые сообщения

taranoff

taranoff

Опубликовано
Опубликовано

с помощью net.worm.win32.morto.a "злодей" зашел на комп, удалил архивные копии и запаролил файлы в архив 1с.rar

каспером и др.вебером проверил комп - др.вирусов не нашел.

запустил Autologer

 

можно что-нить сделать? :oh:

CollectionLog-2016.05.17-11.43.zip

mike 1

mike 1

Опубликовано
Опубликовано
  1. Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

mike 1

mike 1

Опубликовано
Опубликовано
 


 




;uVS v3.87 [http://dsrt.dyndns.org]

;Target OS: NTv5.2

v385c

breg

 

unload %Sys32%\RESIDENT\FSPROFLT2.EXE REMINDER.EXE UPDATER.EXE WAHIVER.EXE WAHIVER64.EXE WASP.EXE WASPWING.EXE WIZARD.EXE WMIC.EXE WMIC.EXE.EXE

delall %Sys32%\RESIDENT\FSPROFLT2.EXE REMINDER.EXE UPDATER.EXE WAHIVER.EXE WAHIVER64.EXE WASP.EXE WASPWING.EXE WIZARD.EXE WMIC.EXE WMIC.EXE.EXE


 

Перезагрузите сервер. Сделайте новый лог uVS.

taranoff

taranoff

Опубликовано
  • Автор
Опубликовано

сделал повторный лог после выполнения скрипта, но до перезагрузки.

т.к. после перезагрузки - "синий" экран как в обычном режиме, так и в безопасном(

SERVER-1C_2016-05-17_15-31-51.7z

mike 1

mike 1

Опубликовано
Опубликовано

Ставьте обновления на сервер и меняйте пароли на более стойкие, а то опять залезут через RDP. С разархивацией не поможем.

taranoff

taranoff

Опубликовано
  • Автор
Опубликовано

Ставьте обновления на сервер и меняйте пароли на более стойкие, а то опять залезут через RDP. С разархивацией не поможем.

а можно скриптик чтобы вернуть работу сервера?

а то после последнего выдает синий экран)))

mike 1

mike 1

Опубликовано
Опубликовано

 

 

а то после последнего выдает синий экран

Скриншот сделайте.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Михаил Н
      Вымогатели заархивировали в WinRAR данные папок и запаролили архив
      Автор Михаил Н
      Добрый день! Нас атаковали злоумышленники. Заархивировали все наши рабочие папки с помощью WinRar. На диске С успели удалить неархивные папки. На диске E и съемном жестком диске G заархивировав и запаролив, всю информацию удалить не успели, т.к. мы заметили их присутствие и выключили компьютер. С помощью программы Recuva удалось вычислить, что они подключились под учеткой User-2 19.07.2024 г в 17:38, создали учетку Update, под которой зашли в 17:46. Мы их обнаружили в 20:55 19.07.2024 и выключили компьютер. Т.к. они не успели доделать свое гиблое дело, то никакого письма на компьютере у нас не оказалось. Но тем не менее, папки заархивированы и пароль неизвестен. С системой на диске С ничего не делали. Запустили программу PassFab for RAR, но этот процесс бесконечен. Также пытались восстановить файлы с помощью Recuva и ShadowExplorer. Файлы восстанавливают, однако они не открываются, т.к. оказываются поврежденными.
       
      Заранее благодарим за советы или возможную помощь.
       
      Addition.txt FRST.txt Recuva_deleted_files_от новых к старым_с19.07.2024_17.38.txt
    • Тарас333
      Похоже руткит
      Автор Тарас333
      Здравствуйте, помогите, похоже руткит!
      CollectionLog-2024.02.07-23.03.zip
    • KSab
      Пошифровали все файлы на нескольких компах.
      Автор KSab
      Всем добрый день, хотя кому-то он и не особо добрый.
      Каким-то образом взломали сеть и пошифровали все файлы на серверах!
      При том, что стоял касперский-сервер и на многих станциях был развернул Workstation - не спасло((
      Теперь на десктопе, в корне каждой папки лежат файлы: 3KjQa6buA.README.txt
      Помогите расшифровать, пожалуйста!!
       
      Addition.txt FRST.txt
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • corleone2007
      Базы добавились в архив
      Автор corleone2007
      Здравствуйте!
          
      Здравствуйте, ваши файлы запакованы в архивы с паролем.
      Если вам нужен пароль пишите на почту kelianydo@gmail.com
       
      p.s. Огромная просьба не писать просто так, ответы на все популярные вопросы ниже (НАДО ЧИТАТЬ!).1.0020.rar1.0020.rar
      пароль к архиву - копия (118) — копия — копия — копия — копия — копия — копия — копия.txt
×
×
  • Создать...