Мирослав Питера 0 Опубликовано 23 сентября, 2016 Share Опубликовано 23 сентября, 2016 (изменено) Шифровальщик. После него получаются файлы как на скриншоте. Это терминальный сервер с 1с, в SQL ходит на соседний сервер. Кто заразился - вычислил, экзешник переименовал. Пользователь админских прав не имел. Все считали, что потеря этого сервера ничего за собой не повлечет (ну данных то нет), но оказалось, что у буков есть маленькая ненужная базка на файловой системе в которой ведется бухучет для отчетности (из торговли туда выгружают информацию) и вот ее они потеряли. Очень сильно плачут. Реально что-нибудь сделать? VirusRemovalTool еще работает Изменено 23 сентября, 2016 пользователем Мирослав Питера Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 23 сентября, 2016 Share Опубликовано 23 сентября, 2016 По скриншотам не гадаем. http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
Мирослав Питера 0 Опубликовано 23 сентября, 2016 Автор Share Опубликовано 23 сентября, 2016 По скриншотам не гадаем. Прошу прощения. результаты проверки и сборщика логов CollectionLog-2016.09.23-18.22.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 23 сентября, 2016 Share Опубликовано 23 сентября, 2016 Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Мирослав Питера 0 Опубликовано 23 сентября, 2016 Автор Share Опубликовано 23 сентября, 2016 Доброй ночи! Спасибо за помощь. Файл в аттаче. MERIN_2016-09-23_23-49-12.7z Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 24 сентября, 2016 Share Опубликовано 24 сентября, 2016 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c breg delref HTTP://SEARCH.CONDUIT.COM/?GD=&CTID=CT3321540&OCTID=EB_ORIGINAL_CTID&ISID=MD0C69B38-E81A-45DF-B3D6-F1E9383AC10D&SEARCHSOURCE=55&CUI=&UM=5&UP=SPD8BA6CCD-F6CC-464E-B5A6-21FAFD531682&SSPV= delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-SPE&O=APN11406&PF=V7&P2=%5EBBE%5EOSJ000%5EYY%5ERU&GCT=&ITBV=12.15.1.20&APN_UID=53FDE318-6CD5-4BD7-BEDD-16BC1DA5C666&APN_PTNRS=BBE&APN_DTID=%5EOSJ000%5EYY%5ERU&APN_DBR=IE_11.0.9600.17207&DOI=2014-07-17&TRGB=IE&Q={SEARCHTE delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-SPE&O=APN11406&PF=V7&P2=^BBE^OSJ000^YY^RU&GCT=&ITBV=12.15.1.20&APN_UID=53FDE318-6CD5-4BD7-BEDD-16BC1DA5C666&APN_PTNRS=BBE&APN_DTID=^OSJ000^YY^RU&APN_DBR=IE_11.0.9600.17207&DOI=2014-07-17&TRGB=IE&Q={SEARCHTERMS}&PSV=&PT=T delref SEARCH.ASK.COM/?GCT=HP zoo %SystemDrive%\PROGRAM FILES (X86)\FILEENCRYPTION\FILEENCRYPTION.EXE delall %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKSSETUP.EXE czoo В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по адресу mike1@avp.su. 1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Мирослав Питера 0 Опубликовано 24 сентября, 2016 Автор Share Опубликовано 24 сентября, 2016 Доброе утро. Один файл ушел в почту, два остальные в аттаче. Спасибо за участие. Addition.rar FRST.rar Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 24 сентября, 2016 Share Опубликовано 24 сентября, 2016 Логи в виде текстовых файлов прикрепите Цитата Ссылка на сообщение Поделиться на другие сайты
Мирослав Питера 0 Опубликовано 24 сентября, 2016 Автор Share Опубликовано 24 сентября, 2016 :) Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 24 сентября, 2016 Share Опубликовано 24 сентября, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Folder: C:\Users\a.luzan\AppData\Local\Temp Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Цитата Ссылка на сообщение Поделиться на другие сайты
Мирослав Питера 0 Опубликовано 24 сентября, 2016 Автор Share Опубликовано 24 сентября, 2016 Добрый день! Файл в аттаче Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 25 сентября, 2016 Share Опубликовано 25 сентября, 2016 Антивирусом какие либо файлы удаляли до обращения на форум? Цитата Ссылка на сообщение Поделиться на другие сайты
Мирослав Питера 0 Опубликовано 25 сентября, 2016 Автор Share Опубликовано 25 сентября, 2016 Нет, антивирусом ничего не удалял. В msconfig запретил запуск подозрительных программ. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 097 Опубликовано 26 сентября, 2016 Share Опубликовано 26 сентября, 2016 (изменено) Конечно не очень хорошо, что не получилось найти сам шифровальщик у вас на сервере. Ну да ладно, вам нужно писать запрос согласно инструкции http://forum.kasperskyclub.ru/index.php?showtopic=48525. Пароли от RDP и всех учеток меняйте. + Для ознакомления https://1cloud.ru/help/windows/windowssecurity Изменено 26 сентября, 2016 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.