Перейти к содержанию

Вирус-шифровальщик (DA_VINCHI) заразил server 2000

aleks-oren
 Поделиться

Рекомендуемые сообщения

  • Ответов 47
  • Создана
  • Последний ответ

Топ авторов темы

  • aleks-oren

    24

  • Sandor

    23

  • mike 1

    1

Популярные дни

Топ авторов темы

Популярные дни

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Соберите и прикрепите свежий CollectionLog

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

1. Уточните, пожалуйста, операции выполняете непосредственно из консоли или подключаетесь через терминальную сессию?

 

2. Есть ли пароль на вход в систему? Если нет, установите сложный.

 

3. 

>> Задано сообщение, выводимое в ходе загрузки

>> Заблокированы настройки системы Windows Update

Это Ваши настройки?

 

4. Обновления Windows устанавливались?

 

5.

  • Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  • Запустите файл TDSSKiller.exe.
  • Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  • В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  • По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  • Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  • Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  • Самостоятельно без указания консультанта ничего не удаляйте!!!
  • После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  • Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

 

 

6. Уточните, после работы Kido Killer компьютер перезагружали?

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
aleks-oren Постоялец

aleks-oren

Опубликовано
  • Автор
Опубликовано

1.  Операции выполняю из консоли,  графический интерфейс.

2. Пароль простой состоит из 6 цифр.

3. Настройки не мои.

4. Обновления Windows не устанавливались. Установлен пакет обновлений sp4.

5. Выполнить смогу завтра.

6. После работы Kido Killer компьютер не перезагружал.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пароль простой состоит из 6 цифр

Измените на сложный.

 

После работы Kido Killer компьютер не перезагружал

Перезагрузите.
Ссылка на комментарий
Поделиться на другие сайты
aleks-oren Постоялец

aleks-oren

Опубликовано
  • Автор
Опубликовано (изменено)

Компьютер перезагрузил.

Не могу запустить программу, TDSSKiller.exe не является приложением win32

Изменено пользователем aleks-oren
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ClearQuarantine;
 QuarantineFile('D:\Program Files\Sable\WINNT\delnt.bat', '');
 QuarantineFile('D:\Program Files\Sable\WINNT\instnt.bat', '');
 QuarantineFile('D:\Program Files\Sable\WINNT\startnt.bat', '');
 QuarantineFile('C:\mynet\mynet.bat', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ пришлите на почту 6fe17320c989.jpg, укажите в письме ссылку на тему, в которой просили прислать файлы.

 

 

Сделайте такой лог.

 

 

Обновления Windows не устанавливались. Установлен пакет обновлений sp4

Установите обновления. Без этого дальнейшее лечение не эффективно. Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
aleks-oren Постоялец

aleks-oren

Опубликовано
  • Автор
Опубликовано (изменено)

Обновления установились!

 Скрипт выполнил, quarantine.zip отправил!

Логи прикрепляю!

Check_Browsers_LNK.log

Errors.log

Изменено пользователем aleks-oren
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyParamDel('HKEY_CLASSES_ROOT','exefile\shellex\DropHandler','{86C86720-42A0-1069-A2E8-08002B30309D}');
 RegKeyParamWrite('HKEY_CLASSES_ROOT','exefile\shellex\DropHandler','','REG_SZ','{86C86720-42A0-1069-A2E8-08002B30309D}');
end.
Вручную перезагрузите компьютер. Попробуйте запустить FRST.
Ссылка на комментарий
Поделиться на другие сайты
aleks-oren Постоялец

aleks-oren

Опубликовано
  • Автор
Опубликовано (изменено)

Скрипт выполнил, компьютер перезагрузил.

FRST не запускается - не является приложением win32

На этом сервере установлена программа 1С. Можно ли работать в этой программе в режиме удаленного рабочего стола?

Изменено пользователем aleks-oren
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Карантин от Вас так и не пришел. Повторите, пожалуйста, его отправку.

 

Подготовьте и прикрепите такой лог.

 

Заново скачайте и сделайте лог Check Browsers' LNK by Dragokas & regist. Заархивируйте его и прикрепите к сообщению.

 

Можно ли работать в этой программе в режиме удаленного рабочего стола?

До окончания лечения - не желательно.
Ссылка на комментарий
Поделиться на другие сайты
aleks-oren Постоялец

aleks-oren

Опубликовано
  • Автор
Опубликовано

Письмо на почту nowahelp@gmail.com отправил 28.10.2016

В теме письма: Вирус-шифровальщик (DA_VINCHI) заразил server 2000

 
Продублировал письмо еще раз и прикрепил карантин к этому сообщению.
 
Прикрепляю логи.
 
Строгое предупреждение от модератора Mark D. Pearlstone
Не отправляйте карантин на форум.

Check_Browsers_LNK.log

Errors.log

log.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Pristan
      Шифровальщик зашифровал сервера Window Server
      Автор Pristan
      Зашифровались почти все сервера на MS Windows server.
      Пример зашифрованных файлов, требования и логи во вложении.
       
      По логам событий windows был найден вредоносный файл, при необходимости могу предоставить.
       
      Спасибо.
      Addition.txt files.7z FRST.txt a77ce0eadd58f2-README.txt
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Salieri
      Заразился вирусом
      Автор Salieri
      Наткнулся на вирус, с файлов игры ( пиратки ) , нужнаCollectionLog-2024.12.16-15.54.zipFRST.txtAddition.txt помощь, система тормозит, производительность упала. Логи ниже
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

×
×
  • Создать...