sergio7 Опубликовано 5 февраля, 2018 Опубликовано 5 февраля, 2018 Помогите решить проблему с шифровальщиком! Не совсем понятно как он проник, но 2 компа заражены, а это док файлы, ехешники, базы данных.... Может кто то уже сталкивался с таким шифровщиком и у кого нить есть ключик? Комп загружается под временной учеткой, лицензия слетела запускается ехе-файл в виде сообщения типа: у вас все зашифровано, пришлите сообщение на decrythelp@qq.com Eset определил угрозу как Win32/Filecoder.Q от приложения 1taskhoste.exe Прикрепляю архив логов, как по инструкции CollectionLog-2018.02.06-02.03.zip
SQ Опубликовано 6 февраля, 2018 Опубликовано 6 февраля, 2018 Здравствуйте,- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
sergio7 Опубликовано 6 февраля, 2018 Автор Опубликовано 6 февраля, 2018 Вот результаты скана FRST ЕЩЕ Уточняю, к этому компу я присоединил зараженный винт (тома G, H, I) FRST.txt Addition.txt
SQ Опубликовано 6 февраля, 2018 Опубликовано 6 февраля, 2018 Уточните пожалуйста, это компьютер находится в локальной сети. Присутствуют ли другие компьютере в сети?P.S. Спрашиваю из-за того не вижу в логах файлов с требованиями злоумышлинников, есть вероятность что изначально был заражен другой компьютер.
sergio7 Опубликовано 7 февраля, 2018 Автор Опубликовано 7 февраля, 2018 Да, данный комп сам в локалке (зашифрованы только некоторые файлы, относящиеся к программе имеющей базы данных, документы и остальное не шифрованы) и к нему подцепил винт с сервака где все, даже виндовые файлы зашифрованы. В сети еще 5 компов, на них тоже есть зашифрованные базы.
SQ Опубликовано 8 февраля, 2018 Опубликовано 8 февраля, 2018 Ищите компьютер на котором присутствуют файлы вымогателей, он должен быть источником заражения. Нужны логи с него.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти