Va.all Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 Добрый день. На рабочем сервере обнаружен вирус шифровальщик. Нужно восстановить базы данных рабочих программ. ВО вложении ЛОГ от сборщика. Также файл требование + зашифрованный файл. CollectionLog-2017.01.08-12.54.zip Фаил с требованием.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 (изменено) Логи переделывайте после полной проверки KVRT. Сервер просто кишит вирусами. + Все ваши пароли уже у злоумышленников. Изменено 8 января, 2017 пользователем mike 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Va.all Опубликовано 8 января, 2017 Автор Share Опубликовано 8 января, 2017 Почистил компьютер KVRT. Дважды. Во второй раз вирусов не обнаружено. Запустил сборщик логов. Логи во вложении. ЧТо мне делать дальше. Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы. CollectionLog-2017.01.08-16.54.zip Оригинал и Зараженный.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); DeleteService('WindowsDefender'); QuarantineFile('C:\Windows\msapss\bin\msapp.exe',''); QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe',''); DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Администратор)','64'); ExecuteSysClean; end. Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Сделайте новые логи Автологгером. Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы. Поищите другие типы файлов размером более 100 КБ. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Va.all Опубликовано 8 января, 2017 Автор Share Опубликовано 8 января, 2017 Скрипты запустил. Фаил отправлен по почте. Автолог во вложении CollectionLog-2017.01.08-17.47.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Va.all Опубликовано 8 января, 2017 Автор Share Опубликовано 8 января, 2017 скан выполнен. Во вложении лог. Насчет других файлы размером более 100кб проблематично искать - они весят минимум 15-20 МБ. Сюда не влезут. лог антивируса.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 Загрузите файлы на Яндекс диск, а здесь дайте ссылку на файлы. Удалите в MBAM все, кроме: Процесс: 2 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 Модуль: 2 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 Раздел реестра: 4 PUP.Optional.RAAmmyy, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AmmyyAdmin, Проигнорировано пользователем, [417], [316623],1.0.951 RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [371], [352776],1.0.951 Значение реестра: 1 RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, Проигнорировано пользователем, [371], [352776],1.0.951 Файл: 2622 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE, Проигнорировано пользователем, [371], [352776],1.0.951 RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE, Проигнорировано пользователем, [371], [352776],1.0.951 После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Va.all Опубликовано 10 января, 2017 Автор Share Опубликовано 10 января, 2017 Добрый день. Почистил.во вложении лог антивируса + автолог. Чистка от вирусов это конечно хорошо, но реально ли восстановить (дешифровать) файлы? вот ссылка на оригинал и шифрованный - https://yadi.sk/d/VpV44RCn387kFD CollectionLog-2017.01.10-09.39.zip ЛОГ.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 10 января, 2017 Share Опубликовано 10 января, 2017 (изменено) Может и реально если файлы подходящие пришлете для подбора ключа. Написал же что оставить, а что удалить, нет все равно делают все по своему. Исполняемые файлы не нужны, ищите пару среди офисных документов, ярлыков или pdf файлов. Изменено 10 января, 2017 пользователем mike 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
SQ Опубликовано 10 января, 2017 Share Опубликовано 10 января, 2017 Здравствуйте Va.all, Вам поможет: https://decrypter.emsisoft.com/download/globeimposter P.S. офисные файлы можете уже не присылать. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти