Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

kiaracript@gmail.com

Сергей Жданов_42554

Автор Сергей Жданов_42554
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Сергей Жданов_42554

Сергей Жданов_42554

Опубликовано
Опубликовано (изменено)

Добрый вечер. Словили шифровальщик. Отправляю результаты проверки

CollectionLog-2018.01.15-17.10.zip

Изменено пользователем Сергей Жданов_42554
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Жданов_42554

Сергей Жданов_42554

Опубликовано
  • Автор
Опубликовано

Сегодня опять дал о себе знать вирус: бухгалтер заходит удаленно на сервер поработать в 1С, спустя время ей выдает "Фатальная ошибка, документ xml is empty" ссылаясь на registry.xml (C:\Users\User\AppData\Roaming\1C\1cv8\ExtCompT\registry.xml), перехожу по этому пути - его содержимое вместо

<?xml version="1.0" encoding="UTF-8"?>
<registry xmlns="http://v8.1c.ru/8.2/addin/registry"/>

содержит

registry.xml.SN-4760199112463586-kiaracript@gmail.com.

Понаблюдал самостоятельно, после удаления xml файла из этй папки и повторного запуска 1С создается файл с норм содержимым, спустя 1-3 мин содержимое меняется kiaracript... - значит все таки на сервере есть активный процесс kiara, сделал еще раз логи с пом вышеуказанной программы  Farbar Recovery Scan Tool, содержимое во вложении.

Что еще можно предпринять ?

 


Добавляю отчет после сканирования системы AutoLogger.exe

Desktop.rar

CollectionLog-2018.01.19-23.16.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

В момент повторного шифрования к серверу имеют доступ другие машины из локальной сети? Логи с рабочего компьютера бухгалтера еще бы сделать не помешало.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...