Зашифровались файлы doc, xls на сервере

[kcpr.krsk]

На локальной машине пользователь по-видимому открыл подозрительное письмо. Позже на машине и в сети еще на одной машине и на двух серверах файлы doc и xls перестали открываться (не та кодировка и пр.). Имена файлов остались те же. Изменилось только дата и время на текущие во время кодировки.  На рабочем столе пользователей появился скрытый файл  типа RU3E9-9EERF-AKTAO-EERTG-OTAAG-XTHXO-ZRTXE-EGYYY.key.

На одной из машин обнаружился вирус Trojan-Ransom.Win32.Spora.d . На второй тоже что-то есть.   

На серверах вирусов не обнаружено (там тоже KES 10, также проверили с помощью CureIT)

Ниже лог с одного из серверов.

Можно ли включать сервер?

CollectionLog-2017.01.18-21.21.zip

Изменено 19 января, 2017 пользователем kcpr.krsk

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[kcpr.krsk]

Доброго дня.

 

 

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Логи получились некорректные. Переделайте, пожалуйста.

[kcpr.krsk]

Нужно ли ставить галку "90 day files"?

Логи - без нее.

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Нужно ли ставить галку "90 day files"?

Нет. При создании логов антивирус отключаете?

[kcpr.krsk]

Прошу прощения, в последний раз забыл отключить

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
AlternateDataStreams: C:\Documents and Settings\buh_2\Рабочий стол\БУХ_КГОУ_КЦПР.v8i:SummaryInformation [43]
AlternateDataStreams: C:\Documents and Settings\buh_2\Рабочий стол\БУХ_КГОУ_КЦПР.v8i:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

[kcpr.krsk]

Здравствуйте. 

Компьютер сам пошел в перезагрузку. Выдал какую-то ошибку. Загрузился нормально.

Fixlog.txt

[Sandor]

Рекомендации те же.