wildman123 0 Опубликовано 29 июня, 2016 Share Опубликовано 29 июня, 2016 Добрый день! открыли письмо якобы от ФНС с html фалом и запустили его. В результате офисные файлы, pdf и базы 1С зашифрованы с расширением .enigma Логи прилагаю. CollectionLog-2016.06.29-14.09.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 июня, 2016 Share Опубликовано 29 июня, 2016 Логи собирайте строго через консоль, а не через RDP! Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
wildman123 0 Опубликовано 29 июня, 2016 Автор Share Опубликовано 29 июня, 2016 Прикладываю отчеты. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 июня, 2016 Share Опубликовано 29 июня, 2016 Вижу, что второй раз наступаете на одни и те же грабли. Печально, что никаких выводов так и не сделали. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [gmsd_ru_91] => [X] GroupPolicyScripts: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-282000379-18365224-3012209582-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1419342126&from=cor&uid=ST500DM002-1BD142_Z2AS96MKXXXXZ2AS96MK&q={searchTerms} S2 serversu; no ImagePath S4 BDSGRTP; no ImagePath S1 bd0001; system32\DRIVERS\bd0001.sys [X] S1 bd0002; system32\DRIVERS\bd0002.sys [X] S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X] 2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp 2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg 2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY 2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR Task: {845F2373-ECAC-4BEA-ADBD-310E9B964CBF} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: {8CC337D8-FBC9-4AE1-AFFE-F0A54F7F9EE4} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: {96B7244E-D974-4B7F-8E7D-E4FE3D48733E} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: {97E162DC-3C13-47AA-9FE5-6DE9828402D1} - \chrome5_logon -> No File <==== ATTENTION Task: {EE176AE7-72EA-4E99-B01F-9B5AF640C4B9} - \chrome5 -> No File <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Перезагрузите сервер Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
wildman123 0 Опубликовано 29 июня, 2016 Автор Share Опубликовано 29 июня, 2016 Про грабли это RDP? Я точно через консоль сижу, комп физически сейчас не подключен к сети. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 июня, 2016 Share Опубликовано 29 июня, 2016 2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg 2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY 2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. Ссылка на сообщение Поделиться на другие сайты
wildman123 0 Опубликовано 29 июня, 2016 Автор Share Опубликовано 29 июня, 2016 (изменено) 2015-10-14 16:39 - 2015-10-14 16:39 - 0927422 _____ () C:\Program Files (x86)\desk.bmp2015-10-14 16:39 - 2015-10-14 16:39 - 0149120 _____ () C:\Program Files (x86)\desk.jpg 2015-10-14 15:47 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\FUVLZMKAGW.BJY 2015-10-14 14:46 - 2015-10-14 16:39 - 0000081 _____ () C:\Program Files (x86)\PCEZFBHGJA.UTR Может и через письмо поймали. Это файлы от шифровальщика Cryakl. Заражение было 14 октября 2015 года. Было дело, это видимо старый мусор остался. А, я понял про грабли. Да я тут без году неделя Это не мой косяк А с .enigma что-то получится? В смысле расшифровать? Изменено 29 июня, 2016 пользователем wildman123 Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 июня, 2016 Share Опубликовано 29 июня, 2016 Думаю получится. Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на сообщение Поделиться на другие сайты
wildman123 0 Опубликовано 30 июня, 2016 Автор Share Опубликовано 30 июня, 2016 Думаю получится. Пишите запрос http://forum.kasperskyclub.ru/index.php?showtopic=48525 Запрос создал, не подскажите, сколько примерно ожидать? ID запроса: INC000006388579 Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 30 июня, 2016 Share Опубликовано 30 июня, 2016 До 2-3 рабочих суток. 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти