Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго времени суток. Вчера 03.09.2017 Шифровальщик зашифровал все архивы баз данных, и сами базы. Вот что я там нашел "https://virustotal.com/#/file/f59e63429f43887100df83316db498c7d2815d5f12839a4842f2d1fd438412f1/detection" но самого шифровальщика найти не могу. В сети 2 пк + сервер. Подозрение падает на один из них. Прилагаю данный о проверке и логи со всех трех машин.

Собственно вероника - пк с которого скорее всего и пошел вирус.

наталья - просто пк в сети 

сервер - собственно сам сервер. на учетной записи был обнаружен троян, на декстопе. и запущен был 03.09.2017 в 1..50 по местному времени. 

всю доступную информацию я сообщил. Если будут вопросы - обращайтесь

CollectionLog-2017.09.04-05.41 nataly.zip

CollectionLog-2017.09.04-06.06 server.zip

CollectionLog-2017.09.04-14.30 veronica.zip

Опубликовано

 

 


Собственно вероника - пк с которого скорее всего и пошел вирус.
Тогда его и будем тут лечить. Для каждого другого ПК создайте отдельную тему.

 

 

Антивирус Касперского 6.0 для Windows Workstations - устарел и не способен технически на сегодняшний день лечить современные вирусы. + Базы к нему уже не выпускаются. Так что обновляйте его в срочном порядке.

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [Infium] C:\Program Files\QIP 2012\qip.exe /autorun (file missing)
O4 - HKLM\..\Run: [pr] C:\Program Files\1C\накладные.exe (file missing)

 

Прикрепите файл с требваниеми о выкупе.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Опубликовано

Спасибо за ваш ответ. По касперскому понял, если честно сам первый раз увидел пк пользователей. Лечить будем только сервер. Сегодня я загрузил сервак с лайвюсб касперского и почистил сервер. К сожалению из трех уделенных троянов успел записать только 1, а именно Trojan.BAT.BitcoinMiner,dg. 

 

Прикрепляю запрошенные вами файлы. 

Addition.txt

FRST.txt

Shortcut.txt

Опубликовано

@Егорка, вот для чего вы делаете винигред из логов? Написал же

 

 


вероника - пк

 

 


Тогда его и будем тут лечить. Для каждого другого ПК создайте отдельную тему.
Создайте отдельную тему по серверу и там выкладывайте логи по правилам созданные автологером.

 

А что с остальными ПК? Просто переставите систему?

Опубликовано

Прошу меня извинить. Да остальные пк переустановим систему, все ровно необходим апгрейд. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Иван Сецовский
      Автор Иван Сецовский
      Можете мне тоже помочь?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы Addition.txt
      FRST.txt
    • владVC11
      Автор владVC11
      Здравствуйте, не могли бы вы помочь раскодировать файлы на съёмном носителе (диске)?
    • Jenechka2012
      Автор Jenechka2012
      ПОМОГИТЕ ПОЖАЛУЙСТА! Не знаю что делать.... нигде ничего найти не могу, как это исправить. 
       
       # AdwCleaner v5.013 - Отчёт создан 13/10/2015 в 17:02:00
      # Обновлено 09/10/2015 by Xplode
      # База данных : 2015-10-09.3 [Сервер]
      # Операционная система : Windows 7 Home Basic Service Pack 1 (x86)
      # Пользователь : Мегафон - MEGAFON
      # Запущено из : C:\Users\Мегафон\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2V253GF\adwcleaner_5.013.exe
      # Настройка : Очистка
      # помощь : http://toolslib.net/forum
       
      ***** [ Службы ] *****
       
       
      ***** [ Папки ] *****
       
      [-] Папка Удалено : C:\ProgramData\Media Get LLC
      [#] Папка Удалено : C:\ProgramData\mntemp
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\yasearch@yandex.ru
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\vb@yandex.ru
       
      ***** [ Файлы ] *****
       
      [-] Файл Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
       
      ***** [ DLLs ] *****
       
       
      ***** [ Ярлыки ] *****
       
       
      ***** [ Запланированные задания ] *****
       
       
      ***** [ Реестр ] *****
       
      [-] Ключ Удалено : HKCU\Software\Media Get LLC
      [-] Ключ Удалено : HKCU\Software\MediaGet
      [-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MediaGet
       
      ***** [ Веб браузеры ] *****
       
       
      *************************
       
      :: Настройки Winsock очищены
       
      ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [1665 байт] ##########
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • ScorpOfRus
      Автор ScorpOfRus
      Всем привет
      Пришло письмо на почту открыл его и соответственно получил
      зашифрованные файлы
      Файл шифровальщика сохранился
      Лог прикрепил
      CollectionLog-2015.10.04-17.08.zip
    • Алексей Нечуйветер
      Автор Алексей Нечуйветер
      Добрый день!
       
      Пришло письмо от судебных приставов, открыли, там находился архив, его не открывали. после закрытия письма система подвисла и все документы изменили название и формат.
       
      Подскажите что можно сделать, LOG файл сделал! 
      KL_syscure.zip
×
×
  • Создать...