Сергей Жданов_42554 Опубликовано 15 января, 2018 Опубликовано 15 января, 2018 (изменено) Добрый вечер. Словили шифровальщик. Отправляю результаты проверки CollectionLog-2018.01.15-17.10.zip Изменено 15 января, 2018 пользователем Сергей Жданов_42554
thyrex Опубликовано 15 января, 2018 Опубликовано 15 января, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Сергей Жданов_42554 Опубликовано 15 января, 2018 Автор Опубликовано 15 января, 2018 Во вложении лог-файлы программы сканирования Addition.txt FRST.txt
thyrex Опубликовано 15 января, 2018 Опубликовано 15 января, 2018 В логах порядок. С расшифровкой помочь не сможем
Сергей Жданов_42554 Опубликовано 19 января, 2018 Автор Опубликовано 19 января, 2018 Сегодня опять дал о себе знать вирус: бухгалтер заходит удаленно на сервер поработать в 1С, спустя время ей выдает "Фатальная ошибка, документ xml is empty" ссылаясь на registry.xml (C:\Users\User\AppData\Roaming\1C\1cv8\ExtCompT\registry.xml), перехожу по этому пути - его содержимое вместо <?xml version="1.0" encoding="UTF-8"?><registry xmlns="http://v8.1c.ru/8.2/addin/registry"/> содержит registry.xml.SN-4760199112463586-kiaracript@gmail.com. Понаблюдал самостоятельно, после удаления xml файла из этй папки и повторного запуска 1С создается файл с норм содержимым, спустя 1-3 мин содержимое меняется kiaracript... - значит все таки на сервере есть активный процесс kiara, сделал еще раз логи с пом вышеуказанной программы Farbar Recovery Scan Tool, содержимое во вложении. Что еще можно предпринять ? Добавляю отчет после сканирования системы AutoLogger.exe Desktop.rar CollectionLog-2018.01.19-23.16.zip
thyrex Опубликовано 20 января, 2018 Опубликовано 20 января, 2018 В момент повторного шифрования к серверу имеют доступ другие машины из локальной сети? Логи с рабочего компьютера бухгалтера еще бы сделать не помешало.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти