Перейти к содержанию

помогите опознать/вылечить


Мирослав Питера

Рекомендуемые сообщения

Шифровальщик. После него получаются файлы как на скриншоте.

 

Это терминальный сервер с 1с, в SQL ходит на соседний сервер.

Кто заразился - вычислил, экзешник переименовал. Пользователь админских прав не имел.

 

Все считали, что потеря этого сервера ничего за собой не повлечет (ну данных то нет), но оказалось, что у буков есть маленькая ненужная базка на файловой системе в которой ведется бухучет для отчетности (из торговли туда выгружают информацию) и вот ее они потеряли. Очень сильно плачут.

 

Реально что-нибудь сделать? VirusRemovalTool еще работает

post-41069-0-50018700-1474635864_thumb.png

Изменено пользователем Мирослав Питера
Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

  1. Скачайте Universal Virus Sniffer (uVS)

Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.
Если у вас установлены архиваторы
WinRAR
или
7-Zip
, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
"Да"
.

Ссылка на комментарий
Поделиться на другие сайты

 
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
breg
 
delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3321540&OCTID=EB_ORIGINAL_CTID&ISID=MD0C69B38-E81A-45DF-B3D6-F1E9383AC10D&SEARCHSOURCE=55&CUI=&UM=5&UP=SPD8BA6CCD-F6CC-464E-B5A6-21FAFD531682&SSPV=
delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-SPE&O=APN11406&PF=V7&P2=%5EBBE%5EOSJ000%5EYY%5ERU&GCT=&ITBV=12.15.1.20&APN_UID=53FDE318-6CD5-4BD7-BEDD-16BC1DA5C666&APN_PTNRS=BBE&APN_DTID=%5EOSJ000%5EYY%5ERU&APN_DBR=IE_11.0.9600.17207&DOI=2014-07-17&TRGB=IE&Q={SEARCHTE
delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-SPE&O=APN11406&PF=V7&P2=^BBE^OSJ000^YY^RU&GCT=&ITBV=12.15.1.20&APN_UID=53FDE318-6CD5-4BD7-BEDD-16BC1DA5C666&APN_PTNRS=BBE&APN_DTID=^OSJ000^YY^RU&APN_DBR=IE_11.0.9600.17207&DOI=2014-07-17&TRGB=IE&Q={SEARCHTERMS}&PSV=&PT=T
delref SEARCH.ASK.COM/?GCT=HP
zoo %SystemDrive%\PROGRAM FILES (X86)\FILEENCRYPTION\FILEENCRYPTION.EXE
delall %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKSSETUP.EXE
czoo
 
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
 
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
Folder: C:\Users\a.luzan\AppData\Local\Temp



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

Ссылка на комментарий
Поделиться на другие сайты

Конечно не очень хорошо, что не получилось найти сам шифровальщик у вас на сервере. Ну да ладно, вам нужно писать запрос согласно инструкции  http://forum.kasperskyclub.ru/index.php?showtopic=48525. Пароли от RDP и всех учеток меняйте. + Для ознакомления  https://1cloud.ru/help/windows/windowssecurity

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Belzak
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • plotikkaroch
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
    • Milkuf
      От Milkuf
      Помогите дочистить систему от вирусов.
      https://forum.kasperskyclub.ru/topic/465233-zakryvaetsja-programma-ustanovki-kaspersky-free/-здесь мне посоветовали создать тут тему, чтобы полностью очистить систему от вирусов.
       
      CollectionLog-2024.12.10-08.48.zip
×
×
  • Создать...