Перейти к содержанию

Вирус шифровальщик - все зашифровано с расширением *.Crypt

Va.all
 Share Подписчики 0

Рекомендуемые сообщения

Va.all

Va.all 0

Опубликовано
Опубликовано

Добрый день.

 

На рабочем сервере обнаружен вирус шифровальщик.

Нужно восстановить базы данных рабочих программ.

ВО вложении ЛОГ от сборщика.

Также файл требование +  зашифрованный файл.

 

CollectionLog-2017.01.08-12.54.zip

Фаил с требованием.rar

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

Логи переделывайте после полной проверки KVRT. Сервер просто кишит вирусами. + Все ваши пароли уже у злоумышленников.

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
Va.all

Va.all 0

Опубликовано
  • Автор
Опубликовано

Почистил компьютер KVRT. Дважды. Во второй раз вирусов не обнаружено.

Запустил сборщик логов.

Логи во вложении.

 

ЧТо мне делать дальше.


Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы.

CollectionLog-2017.01.08-16.54.zip

Оригинал и Зараженный.rar

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('WindowsDefender');
 QuarantineFile('C:\Windows\msapss\bin\msapp.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\drm\smss.exe','');
 DeleteFile('C:\ProgramData\Microsoft\drm\smss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Администратор)','64');
ExecuteSysClean;
end.
Перезагрузите сервер. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

 

Также на всякий случай высылаю в архиве оригинальный и зараженный (зашифрованный) файлы.

Поищите другие типы файлов размером более 100 КБ.

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано
Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.

Самостоятельно ничего не удаляйте!!!

Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Ссылка на сообщение
Поделиться на другие сайты
Va.all

Va.all 0

Опубликовано
  • Автор
Опубликовано

скан выполнен.

Во вложении лог.

 


Насчет других файлы размером более 100кб проблематично искать - они весят минимум 15-20 МБ. Сюда не влезут.

лог антивируса.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Загрузите файлы на Яндекс диск, а здесь дайте ссылку на файлы.
 
Удалите в MBAM все, кроме:
 

Процесс: 2
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951

Модуль: 2
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951

Раздел реестра: 4
PUP.Optional.RAAmmyy, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AmmyyAdmin, Проигнорировано пользователем, [417], [316623],1.0.951
RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [371], [352776],1.0.951

Значение реестра: 1
RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, Проигнорировано пользователем, [371], [352776],1.0.951

Файл: 2622
PUP.Optional.RAAmmyy, C:\USERS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd\u00d0\u00b8\u00d1\u0081\u00d1\u0082\u00d1\u0080\u00d0\u00b0\u00d1\u0082\u00d0\u00be\u00d1\u0080\DESKTOP\AA_V3 (2).EXE, Проигнорировано пользователем, [417], [316623],1.0.951
RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE, Проигнорировано пользователем, [371], [352776],1.0.951
RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE, Проигнорировано пользователем, [371], [352776],1.0.951

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Ссылка на сообщение
Поделиться на другие сайты
Va.all

Va.all 0

Опубликовано
  • Автор
Опубликовано

Добрый день.

Почистил.во вложении лог  антивируса + автолог.

Чистка от вирусов это конечно хорошо, но реально ли восстановить (дешифровать) файлы?

 

вот ссылка на оригинал и шифрованный - https://yadi.sk/d/VpV44RCn387kFD

CollectionLog-2017.01.10-09.39.zip

ЛОГ.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано (изменено)

Может и реально если файлы подходящие пришлете для подбора ключа.

 

Написал же что оставить, а что удалить, нет все равно делают все по своему.

 

Исполняемые файлы не нужны, ищите пару среди офисных документов, ярлыков или pdf файлов.

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем
×
×
  • Создать...