помогите опознать/вылечить

[Мирослав Питера]

Шифровальщик. После него получаются файлы как на скриншоте.

 

Это терминальный сервер с 1с, в SQL ходит на соседний сервер.

Кто заразился - вычислил, экзешник переименовал. Пользователь админских прав не имел.

 

Все считали, что потеря этого сервера ничего за собой не повлечет (ну данных то нет), но оказалось, что у буков есть маленькая ненужная базка на файловой системе в которой ведется бухучет для отчетности (из торговли туда выгружают информацию) и вот ее они потеряли. Очень сильно плачут.

 

Реально что-нибудь сделать? VirusRemovalTool еще работает

Изменено 23 сентября, 2016 пользователем Мирослав Питера

[mike 1]

По скриншотам не гадаем. 

 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Мирослав Питера]

По скриншотам не гадаем. 

Прошу прощения.

результаты проверки и сборщика логов

CollectionLog-2016.09.23-18.22.zip

[mike 1]

1. Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

[Мирослав Питера]

Доброй ночи!

Спасибо за помощь. 

Файл в аттаче.

MERIN_2016-09-23_23-49-12.7z

[mike 1]

 

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg
 
delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3321540&OCTID=EB_ORIGINAL_CTID&ISID=MD0C69B38-E81A-45DF-B3D6-F1E9383AC10D&SEARCHSOURCE=55&CUI=&UM=5&UP=SPD8BA6CCD-F6CC-464E-B5A6-21FAFD531682&SSPV=
delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-SPE&O=APN11406&PF=V7&P2=%5EBBE%5EOSJ000%5EYY%5ERU&GCT=&ITBV=12.15.1.20&APN_UID=53FDE318-6CD5-4BD7-BEDD-16BC1DA5C666&APN_PTNRS=BBE&APN_DTID=%5EOSJ000%5EYY%5ERU&APN_DBR=IE_11.0.9600.17207&DOI=2014-07-17&TRGB=IE&Q={SEARCHTE
delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-SPE&O=APN11406&PF=V7&P2=^BBE^OSJ000^YY^RU&GCT=&ITBV=12.15.1.20&APN_UID=53FDE318-6CD5-4BD7-BEDD-16BC1DA5C666&APN_PTNRS=BBE&APN_DTID=^OSJ000^YY^RU&APN_DBR=IE_11.0.9600.17207&DOI=2014-07-17&TRGB=IE&Q={SEARCHTERMS}&PSV=&PT=T
delref SEARCH.ASK.COM/?GCT=HP
zoo %SystemDrive%\PROGRAM FILES (X86)\FILEENCRYPTION\FILEENCRYPTION.EXE
delall %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKSSETUP.EXE
czoo
 

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
• После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[Мирослав Питера]

Доброе утро.

Один файл ушел в почту, два остальные в аттаче.

Спасибо за участие.

Addition.rar

FRST.rar

[mike 1]

Логи в виде текстовых файлов прикрепите

[Мирослав Питера]

:)

 

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

Folder: C:\Users\a.luzan\AppData\Local\Temp

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

 

 

[Мирослав Питера]

Добрый день!

Файл в аттаче

Fixlog.txt

[mike 1]

Антивирусом какие либо файлы удаляли до обращения на форум?

[Мирослав Питера]

Нет, антивирусом ничего не удалял. В msconfig запретил запуск подозрительных программ.

[mike 1]

Конечно не очень хорошо, что не получилось найти сам шифровальщик у вас на сервере. Ну да ладно, вам нужно писать запрос согласно инструкции  http://forum.kasperskyclub.ru/index.php?showtopic=48525. Пароли от RDP и всех учеток меняйте. + Для ознакомления  https://1cloud.ru/help/windows/windowssecurity

Изменено 26 сентября, 2016 пользователем mike 1