anoshkin Опубликовано 13 марта, 2017 Опубликовано 13 марта, 2017 (изменено) Добрый день Очень прошу помочь Подцепили на сервере троян, который зашифровал файлы 1c c расширением email-gruzinrussian@aol.com.ver-CL 1.3.1.0.id-@@@@@0000-0028.randomname-EGHIIJJKLMMNNNOOPQQRRRSTTUUVWW.WXY.zza Видел, что советуете запустить Farbar Recovery Scan Tool Файлы с его выводом прилагаю Или как можно самому понять, что нужно писать в fixlist? И есть шансы расшифровать файлы? Addition.txt FRST.txt Shortcut.txt CollectionLog-2017.03.13-13.06.zip Изменено 13 марта, 2017 пользователем anoshkin
Sandor Опубликовано 13 марта, 2017 Опубликовано 13 марта, 2017 Здравствуйте! Начните с логов по правилам: Порядок оформления запроса о помощи
anoshkin Опубликовано 13 марта, 2017 Автор Опубликовано 13 марта, 2017 (изменено) Здравствуйте, файл из программы AutoLogger приложил CollectionLog-2017.03.13-13.06.zip Изменено 13 марта, 2017 пользователем anoshkin
Sandor Опубликовано 13 марта, 2017 Опубликовано 13 марта, 2017 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\totalcmd\tr\csrs.exe', ''); QuarantineFile('C:\Users\Marina\AppData\Local\Temp\cisBD6.exe', ''); DeleteFile('C:\totalcmd\tr\csrs.exe', '32'); DeleteFile('C:\Users\Marina\AppData\Local\Temp\cisBD6.exe', '32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1545257345-2984377823-3496276576-1014\Software\Microsoft\Windows\CurrentVersion\Run','TrayFactory'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1545257345-2984377823-3496276576-1014\Software\Microsoft\Windows\CurrentVersion\RunOnce','PSTF'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}','command'); ExecuteRepair(21); ExecuteFile('ipconfig', '/flushdns', 0, 10000, true); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Соберите и прикрепите свежие логи FRST.
anoshkin Опубликовано 13 марта, 2017 Автор Опубликовано 13 марта, 2017 (изменено) Скрипт выполнил (комп после этого перезагрузился), но файлы cisBD6.exe и csrs.exe удалились, но в карантин не попали (архив имеет 0 байт) Прилагаю всю папку, что осталось по пути c:\totalcmd На всякий случай, прикладываю новую версию архив от AutoLogger Логи из Farbar собираю сейчас Новые логи из farbar прикладываю totalcmd.rar CollectionLog-2017.03.13-14.06.zip Addition.txt FRST.txt Shortcut.txt Изменено 13 марта, 2017 пользователем anoshkin
Sandor Опубликовано 13 марта, 2017 Опубликовано 13 марта, 2017 Файл C:\Users\Elena.Marina-PK\Desktop\README.txt и парочку небольших зашифрованных упакуйте и прикрепите к следующему сообщению. Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: GroupPolicyScripts: Restriction <======= ATTENTION BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Public\README.txt 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Public\Downloads\README.txt 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\README.txt 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Downloads\README.txt 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Documents\README.txt 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Roaming\README.txt 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\README.txt 2017-03-12 12:42 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\LocalLow\README.txt 2017-03-12 12:38 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\AppData\Local\README.txt 2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\Users\Все пользователи\README.txt 2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\Users\Public\Documents\README.txt 2017-03-12 12:34 - 2017-03-12 12:44 - 00000139 _____ C:\ProgramData\README.txt 2017-03-12 11:54 - 2017-03-12 12:42 - 00000139 _____ C:\Users\Elena.Marina-PK\Desktop\README.txt Task: {E71F5D48-4827-4EE0-8391-7071082933D6} - \Pokki -> No File <==== ATTENTION Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
anoshkin Опубликовано 13 марта, 2017 Автор Опубликовано 13 марта, 2017 С рабочего стола отправляю Этот скрипт сейчас запущу Fixlog прилагаю, но как вижу, ничего не поменялось Файлы еще зашифрованы README.txt Desktop.zip Fixlog.txt
Sandor Опубликовано 13 марта, 2017 Опубликовано 13 марта, 2017 Мы пока только очистили следы. Увы, помочь с расшифровкой не можем. При наличии лицензии на антивирус Касперского создайте запрос на расшифровку.
anoshkin Опубликовано 14 марта, 2017 Автор Опубликовано 14 марта, 2017 Была необходимость быстрого получения файлов, поэтому пришлось заплатить хакеру В результате чего, были получены следующие файлы для расшифровки Может кому-то пригодяться дешифратор.zip
Sandor Опубликовано 15 марта, 2017 Опубликовано 15 марта, 2017 Увы, для другого пострадавшего нужен другой, так что не поможет.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти