Вирус шифровальщик

27 октября, 2016

Добрый День. Был заражен компьютер с базой 1С. В каждой папке был создан документ со следующим содержимым:

Внимание! Все файлы на пк зашифрованы!

Для расшифровки файлов, Вам необходимо написать на email: dosfile@ya.ru

Стоимость расшифровки 6500 руб., спешите, скоро цена будет больше!:

Во сложении файл с логами. Пострадал только файл с базой 1С ни чем не открывается ни программой проверки базы ни просмотрщиком 1CD файлов.

CollectionLog-2016.10.27-15.39.zip

27 октября, 2016

Здравствуйте!

Пожалуйста, вручную перезагрузите компьютер и сделайте лог Check Browsers' LNK by Dragokas & regist.

28 октября, 2016

Check Browsers' LNK by Alex Dragokas & regist ver. 2.1.0.7 ( Beta )

OS: x64 Windows Server 2012 R2 (Server Standard), 6.3.9600, Service Pack: 0 (SM=Terminal, PT=Server)

Time: 28.10.2016 - 14:40

Language: OS: Russian (0x419). Display: Russian (0x419). Non-Unicode: Russian (0x419). Codepage: OEM - c_866.nls (not exist!), ANSI - c_1251.nls (not exist!)

Elevated: No

User: user6 (group: Limited User) on SHOPSERV

* Подозрительные объекты будут отмечены префиксом >>>

[=========================================================================]

(((((( Прочие ярлыки ))))))

===========================================================================

[_________________________ Цель не существует __________________________]

>>> "C:\Users\user6\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk" -> ["C:\Windows\system32\mblctr.exe"]

>>> "C:\Users\user6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk" -> ["C:\Windows\system32\ServerManager.exe"]

>>> "C:\Users\user6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Server Manager.lnk" -> ["C:\Windows\system32\ServerManager.exe"]

>>> "C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk" -> ["C:\Windows\system32\mblctr.exe"]

>>> "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk" -> ["C:\Windows\system32\ServerManager.exe"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Windows Server Backup.lnk" -> ["C:\Windows\system32\wbadmin.msc"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Health Registration Authority.lnk" -> ["C:\Windows\system32\HCSCFG.MSC"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\IIS Manager.lnk" -> ["C:\Windows\system32\inetsrv\InetMgr.exe"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Memory Diagnostics Tool.lnk" -> ["C:\Windows\system32\MdSched.exe"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Network Policy Server.lnk" -> ["C:\Windows\system32\nps.msc"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Security Configuration Management.lnk" -> ["C:\Windows\system32\secpol.msc" =>> /s]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Security Configuration Wizard.lnk" -> ["C:\Windows\system32\scw.exe"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk" -> ["C:\Windows\system32\ServerManager.exe"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\System Configuration.lnk" -> ["C:\Windows\system32\msconfig.exe"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Windows Server Backup.lnk" -> ["C:\Windows\system32\wbadmin.msc"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\Remote Desktop Licensing Diagnosis.lnk" -> ["C:\Windows\system32\lsdiag.msc"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS Gateway Manager.lnk" -> ["C:\Windows\system32\tsgateway.msc"]

>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS Licensing Manager.lnk" -> ["C:\Windows\system32\licmgr.exe"]

[________________ Браузер по-умолчанию _______________]

- ftp = C:\Windows\System32\OpenWith.exe "%1" (Выбор приложения)

- .htm = C:\Windows\System32\OpenWith.exe "%1" (Выбор приложения)

- .html = C:\Windows\System32\OpenWith.exe "%1" (Выбор приложения)

- .url = C:\Windows\System32\rundll32.exe "C:\Windows\System32\ieframe.dll",OpenURL %l (Браузер)

[____________________ Статистика ___________________]

Найдено угроз: 18

Перечислено файлов: 1841 (папок: 564, ярлыков: 131)

Затрачено времени: 6 сек. (поиск: 4 сек.)

Проверены:

C:\Users\user1

C:\Users\user2

C:\Users\user3

C:\Users\user4

C:\Users\user5

C:\Users\user6

C:\Users\user8

C:\Users\user9

C:\Users\user10

C:\Users\user11

C:\Users\user12

C:\Users\user13

C:\Users\Администратор

C:\Users\MSSQL$MICROSOFT##WID

C:\Users\Default

C:\Users\Public

C:\ProgramData

______________________________ Конец лога _______________________________9196 bytes, CRC32: FFFFFFFF. Sign: 쓍炌

28 октября, 2016

User: user6 (group: Limited User) on SHOPSERV

Запустите утилиту от имени администратора. Лог не вставляйте в сообщение, а прикрепите к нему.

29 октября, 2016

Лог во вложении.

Check_Browsers_LNK.rar

2 ноября, 2016

Добрый День, есть какие нибудь новости?

2 ноября, 2016

Вы лог собрали утилитой, входящей в состав Автологера. А я просил именно этой.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 QuarantineFileF('C:\Users\user3\AppData\Roaming\Sys64\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3 ноября, 2016

Добрый День. Отправил. Проверьте пожалуйста.

3 ноября, 2016

Check Browsers' LNK, пожалуйста, прикрепите к сообщению.

3 ноября, 2016

Данные лога

Check_Browsers_LNK.log

4 ноября, 2016

Добрый день, новости есть?

4 ноября, 2016

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Извините за задержку.

7 ноября, 2016

Добрый День. Логи во вложении.

Addition.txt

FRST.txt

Shortcut.txt

7 ноября, 2016

Добрый День. Есть новости?

7 ноября, 2016

Ran by user6 (ATTENTION: The user is not administrator)

Как и в прошлый раз напоминаю - утилиты следует запускать от имени администратора. Переделайте, пожалуйста.

Вирус шифровальщик

Рекомендуемые сообщения

Ivan Kezin

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Sandor

Ivan Kezin

Sandor

Ivan Kezin

Ivan Kezin

Sandor

Ivan Kezin

Sandor

Ivan Kezin

Ivan Kezin

Sandor

Ivan Kezin

Ivan Kezin

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum