шифровальщик email-gruzinrussian@aol.com.ver-CL 1.3.1.0.id

[udav]

Доброе время суток.

 

на серваке подцепили шифровальщик "email-gruzinrussian@aol.com.ver-CL 1.3.1.0.id"

активность началась 25,11,2016 примерно в 20:17.

стоит- Касперский секьюрити 10 для сервера.

Уже второй раз ловим и антивир бездействует.

AutoLogger и логи FRST64 во вложении.

 

Запрос техподдержку сделал, но надежды на них нет (повторение ситуации).

 

CollectionLog-2016.11.28-13.12.zip

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Здравствуйте!

 

Уже второй раз ловим

Читали?

 

Может есть смысл перейти на актуальную версию, имеющую такую защиту?

Впрочем, точнее по версиям Вам подскажут в смежном разделе.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго

Служба автоматического обновления программ

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-3371524333-1516134149-2238237721-1014\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1016\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1017\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1021\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1024\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1026\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1027\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1030\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1031\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-1032\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
HKU\S-1-5-21-3371524333-1516134149-2238237721-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10444
Toolbar: HKU\S-1-5-21-3371524333-1516134149-2238237721-1014 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3371524333-1516134149-2238237721-1016 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3371524333-1516134149-2238237721-1017 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3371524333-1516134149-2238237721-1019 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR HomePage: Default -> mail.ru/cnt/9852088
CHR StartupUrls: Default -> "hxxp://go.mail.ru/?homepage=1"
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: («Визуальные Закладки» от Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcncjpganfocbfoenaemagjjopkkindp [2014-10-27]
CHR Extension: («Визуальные Закладки» от Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2013-12-27] [UpdateUrl: hxxp://crx.binupdate.mail.ru/jaocgokledfmfebefgbeokdodbbdjhdd/updates.xml] <==== ATTENTION
CHR Extension: (Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\jggbjbmnfmipgcanidamjfpechdeekoi [2014-10-27]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\odkmedfomghphdnmmemhkpoanggcfbbe [2015-02-10]
CHR Extension: (Домашняя страница – Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\pldbienodkpgkccocelidinmciedjdok [2014-10-27]
2016-11-25 22:14 - 2016-11-25 22:20 - 00000139 _____ C:\Users\магазин\README.txt
2016-11-25 22:14 - 2016-11-25 22:20 - 00000139 _____ C:\Users\магазин\Downloads\README.txt
2016-11-25 22:14 - 2016-11-25 22:20 - 00000139 _____ C:\Users\магазин\Documents\README.txt
2016-11-25 22:14 - 2016-11-25 22:20 - 00000139 _____ C:\Users\магазин\Desktop\README.txt
2016-11-25 22:14 - 2016-11-25 22:20 - 00000139 _____ C:\Users\магазин\AppData\Roaming\README.txt
2016-11-25 22:14 - 2016-11-25 22:20 - 00000139 _____ C:\Users\магазин\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-11-25 22:14 - 2016-11-25 22:20 - 00000139 _____ C:\Users\магазин\AppData\README.txt
2016-11-25 22:14 - 2016-11-25 22:19 - 00000139 _____ C:\Users\магазин\AppData\LocalLow\README.txt
2016-11-25 22:09 - 2016-11-25 22:16 - 00000139 _____ C:\Users\магазин\AppData\Local\Temp\README.txt
2016-11-25 21:40 - 2016-11-25 21:40 - 00000139 _____ C:\Users\Public\README.txt
2016-11-25 21:40 - 2016-11-25 21:40 - 00000139 _____ C:\Users\Public\Downloads\README.txt
2016-11-25 21:06 - 2016-11-25 21:56 - 00000139 _____ C:\Users\Все пользователи\README.txt
2016-11-25 21:06 - 2016-11-25 21:56 - 00000139 _____ C:\Users\Public\Documents\README.txt
2016-11-25 21:06 - 2016-11-25 21:56 - 00000139 _____ C:\ProgramData\README.txt
Task: {6DC58DD3-0E7F-43F3-BFC5-1870DF1673BC} - System32\Tasks\MailRuUpdater => C:\Users\Фомичев\AppData\Local\Mail.Ru\MailRuUpdater.exe [2016-09-23] (Mail.Ru)
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перегрузите компьютер вручную.

Подробнее читайте в этом руководстве.

[udav]

прикрепил. 

касперский утверждает, что защита от шифрования на сервере не работает. она мол только для защиты от шифрования(когда запускается из под сети).

Fixlog.txt

[Sandor]

Следы вымогателя и адвари очищены.

Запрос техподдержку сделал

Ждите.

[Sandor]

Смените все важные пароли, измените порт подключения RDP.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.