Va.all 0 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 Добрый день. На рабочем сервере обнаружен вирус шифровальщик. Нужно восстановить базы данных рабочих программ. ВО вложении ЛОГ от сборщика. Также файл требование + зашифрованный файл. CollectionLog-2017.01.08-12.54.zip Фаил с требованием.rar Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 (изменено) Логи переделывайте после полной проверки KVRT. Сервер просто кишит вирусами. + Все ваши пароли уже у злоумышленников. Изменено 8 января, 2017 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 8 января, 2017 Автор Share Опубликовано 8 января, 2017 Почистил компьютер KVRT. Дважды. Во второй раз вирусов не обнаружено. Запустил сборщик логов. Логи во вложении. ЧТо мне делать дальше. Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы. CollectionLog-2017.01.08-16.54.zip Оригинал и Зараженный.rar Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); DeleteService('WindowsDefender'); QuarantineFile('C:\Windows\msapss\bin\msapp.exe',''); QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe',''); DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Администратор)','64'); ExecuteSysClean; end. Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.1. В заголовке письма напишите "Карантин". 2. В письме напишите ссылку на Вашу тему. 3. Прикрепите файл карантина и нажмите "Отправить" Сделайте новые логи Автологгером. Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы. Поищите другие типы файлов размером более 100 КБ. Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 8 января, 2017 Автор Share Опубликовано 8 января, 2017 Скрипты запустил. Фаил отправлен по почте. Автолог во вложении CollectionLog-2017.01.08-17.47.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 8 января, 2017 Автор Share Опубликовано 8 января, 2017 скан выполнен. Во вложении лог. Насчет других файлы размером более 100кб проблематично искать - они весят минимум 15-20 МБ. Сюда не влезут. лог антивируса.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 8 января, 2017 Share Опубликовано 8 января, 2017 Загрузите файлы на Яндекс диск, а здесь дайте ссылку на файлы. Удалите в MBAM все, кроме: Процесс: 2 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 Модуль: 2 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 Раздел реестра: 4 PUP.Optional.RAAmmyy, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AmmyyAdmin, Проигнорировано пользователем, [417], [316623],1.0.951 RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [371], [352776],1.0.951 Значение реестра: 1 RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, Проигнорировано пользователем, [371], [352776],1.0.951 Файл: 2622 PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951 RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE, Проигнорировано пользователем, [371], [352776],1.0.951 RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE, Проигнорировано пользователем, [371], [352776],1.0.951 После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Ссылка на сообщение Поделиться на другие сайты
Va.all 0 Опубликовано 10 января, 2017 Автор Share Опубликовано 10 января, 2017 Добрый день. Почистил.во вложении лог антивируса + автолог. Чистка от вирусов это конечно хорошо, но реально ли восстановить (дешифровать) файлы? вот ссылка на оригинал и шифрованный - https://yadi.sk/d/VpV44RCn387kFD CollectionLog-2017.01.10-09.39.zip ЛОГ.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 10 января, 2017 Share Опубликовано 10 января, 2017 (изменено) Может и реально если файлы подходящие пришлете для подбора ключа. Написал же что оставить, а что удалить, нет все равно делают все по своему. Исполняемые файлы не нужны, ищите пару среди офисных документов, ярлыков или pdf файлов. Изменено 10 января, 2017 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
SQ 785 Опубликовано 10 января, 2017 Share Опубликовано 10 января, 2017 Здравствуйте Va.all, Вам поможет: https://decrypter.emsisoft.com/download/globeimposter P.S. офисные файлы можете уже не присылать. 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти