cliffero 0 Опубликовано 26 апреля, 2018 Share Опубликовано 26 апреля, 2018 На сервере под windows serwer 2008 r2 подхватил шифровальщик. Заразу убил с помощью kaspersky virus removal tool, хотелось бы восстановить файлы, возможно ли это? CollectionLog-2018.04.26-11.12.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 апреля, 2018 Share Опубликовано 26 апреля, 2018 Выполните скрипт в AVZ begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe',''); QuarantineFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe',''); DeleteService('wcvvses'); DeleteService('werlsfks'); DeleteService('wscsvs'); QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe',''); QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe',''); QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe',''); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','64'); DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','64'); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64'); DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wasp.exe','32'); DeleteFile('C:\Windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\waspwing.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
cliffero 0 Опубликовано 26 апреля, 2018 Автор Share Опубликовано 26 апреля, 2018 Выполнил скрипты, отправил, получил ответ: "Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:waspwing.exe - not-a-virus:RiskTool.Win32.Agent.amrmwasp.exe - not-a-virus:RiskTool.Win32.Agent.amrpВ антивирусных базах информация по присланным вами файлам отсутствует:mms.exelsm.exemms_0.exeФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQ" После этого снова запустил Autologger Забыл указать тему письма: Шифровальщик [KLAN-7973245825] CollectionLog-2018.04.26-13.20.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 апреля, 2018 Share Опубликовано 26 апреля, 2018 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
cliffero 0 Опубликовано 26 апреля, 2018 Автор Share Опубликовано 26 апреля, 2018 Выполнил zip.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 апреля, 2018 Share Опубликовано 26 апреля, 2018 Поищите пару - шифрованный и незашифрованный оригинал - какого-либо файла и прикрепите в архиве вместе с файлом C:\HOW DECRIPT FILES.hta к следующему сообщению. 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X] S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X] S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X] C:\Windows\Inf\axperflib\0010 C:\Windows\Inf\NETLIBRARIESTIP\000D 2018-04-26 05:05 - 2018-04-26 05:05 - 000009050 _____ C:\Windows\SysWOW64\HOW DECRIPT FILES.hta 2018-04-26 05:05 - 2018-04-26 05:05 - 000009050 _____ C:\Windows\SysWOW64\Drivers\HOW DECRIPT FILES.hta 2018-04-26 04:54 - 2018-04-26 04:54 - 000009050 _____ C:\Windows\HOW DECRIPT FILES.hta 2018-04-26 04:52 - 2018-04-26 04:52 - 000009050 _____ C:\Users\Администратор\Downloads\HOW DECRIPT FILES.hta 2018-04-26 04:51 - 2018-04-26 04:51 - 000009050 _____ C:\Users\Администратор\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:51 - 2018-04-26 04:51 - 000009050 _____ C:\Users\Администратор\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\Администратор\HOW DECRIPT FILES.hta 2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\Администратор\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\zaytsev\HOW DECRIPT FILES.hta 2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\zaytsev\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\zaytsev\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\windows nt\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:50 - 2018-04-26 04:50 - 000009050 _____ C:\Users\windows nt\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\windows nt\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\windows nt\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP.INTEGRALTECH\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP.INTEGRALTECH\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\TEMP.INTEGRALTECH\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\Public\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\petrunichev\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\petrunichev\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\petrunichev\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\petrunichev\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\msp\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\msp\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\msp\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\msp\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\kuramshin\Downloads\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\kuramshin\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:49 - 2018-04-26 04:49 - 000009050 _____ C:\Users\kuramshin\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-04-26 04:48 - 2018-04-26 04:48 - 000009050 _____ C:\Users\kuramshin\HOW DECRIPT FILES.hta 2018-04-26 04:48 - 2018-04-26 04:48 - 000009050 _____ C:\Users\kuramshin\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:48 - 2018-04-26 04:48 - 000009050 _____ C:\Users\kaban\Downloads\HOW DECRIPT FILES.hta 2018-04-26 04:47 - 2018-04-26 04:47 - 000009050 _____ C:\Users\kaban\HOW DECRIPT FILES.hta 2018-04-26 04:47 - 2018-04-26 04:47 - 000009050 _____ C:\Users\kaban\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:47 - 2018-04-26 04:47 - 000009050 _____ C:\Users\kaban\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-04-26 04:47 - 2018-04-26 04:47 - 000009050 _____ C:\Users\kaban\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\INTEGRALTECH.0001\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\INTEGRALTECH.0001\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\INTEGRALTECH.0001\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ershov\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ershov\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ershov\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default User\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Default User\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Classic .NET AppPool\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\Classic .NET AppPool\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ASPNET\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:41 - 2018-04-26 04:41 - 000009050 _____ C:\Users\ASPNET\AppData\LocalLow\HOW DECRIPT FILES.hta 2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\ASPNET\HOW DECRIPT FILES.hta 2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\ASPNET\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\andreev\HOW DECRIPT FILES.hta 2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\andreev\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\andreev\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\AMDService\HOW DECRIPT FILES.hta 2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\AMDService\AppData\Roaming\HOW DECRIPT FILES.hta 2018-04-26 04:40 - 2018-04-26 04:40 - 000009050 _____ C:\Users\AMDService\AppData\HOW DECRIPT FILES.hta 2018-04-26 04:36 - 2018-04-26 04:36 - 000009050 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW DECRIPT FILES.hta 2018-04-26 04:36 - 2018-04-26 04:36 - 000009050 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW DECRIPT FILES.hta 2018-04-26 04:35 - 2018-04-26 04:35 - 000009050 _____ C:\Users\Все пользователи\HOW DECRIPT FILES.hta 2018-04-26 04:35 - 2018-04-26 04:35 - 000009050 _____ C:\ProgramData\HOW DECRIPT FILES.hta 2018-04-26 04:33 - 2018-04-26 04:33 - 000009050 _____ C:\Program Files (x86)\HOW DECRIPT FILES.hta 2018-04-26 04:31 - 2018-04-26 04:31 - 000009050 _____ C:\Program Files\HOW DECRIPT FILES.hta 2018-04-26 04:31 - 2018-04-26 04:31 - 000009050 _____ C:\Program Files\Common Files\HOW DECRIPT FILES.hta Task: {29A11E58-4A51-4190-AA7C-A186427F64D5} - \AdobeReaderUpdate -> No File <==== ATTENTION Task: {85CF26F9-EE93-4B48-8D3D-671FBF457A6E} - \CCleanerSkipUAC -> No File <==== ATTENTION 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную. Цитата Ссылка на сообщение Поделиться на другие сайты
cliffero 0 Опубликовано 26 апреля, 2018 Автор Share Опубликовано 26 апреля, 2018 Сделано В архиве файлы разных форматов (DOC, XLS, PDF). Также есть файлы не переименованные, но с некорректным содержимым. 1.zip Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
cliffero 0 Опубликовано 26 апреля, 2018 Автор Share Опубликовано 26 апреля, 2018 Еще файлы 2.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 апреля, 2018 Share Опубликовано 27 апреля, 2018 Проверьте ЛС Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 апреля, 2018 Share Опубликовано 27 апреля, 2018 Папку с карантином после работы FRST найдите на диске С, упакуйте в архив и прикрепите к следующему сообщению Цитата Ссылка на сообщение Поделиться на другие сайты
cliffero 0 Опубликовано 27 апреля, 2018 Автор Share Опубликовано 27 апреля, 2018 Файл получился большой, залил на google drive, не знаю получится ли скачать, файлообменники обычно ругаются на наличие вирусов Сообщение от модератора thyrex Скачал, ссылку удалил Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 апреля, 2018 Share Опубликовано 28 апреля, 2018 Файл из второй посылки можно расшифровать тем же ключом. Просто не нужно было менять имя файла после шифрования. Цитата Ссылка на сообщение Поделиться на другие сайты
cliffero 0 Опубликовано 28 апреля, 2018 Автор Share Опубликовано 28 апреля, 2018 Я не менял имя файла. как теперь вернуть зашифрованное имя файла, потому что так эти файлы пропускаются Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 апреля, 2018 Share Опубликовано 28 апреля, 2018 Значит это сделал кто-то другой. Вирус переименовывает файл, заменяя символы его имени на их шестнадцатеричное представление и дописывая в начале адрес электронной почты для связи. Цитата Ссылка на сообщение Поделиться на другие сайты
cliffero 0 Опубликовано 28 апреля, 2018 Автор Share Опубликовано 28 апреля, 2018 А можно их как-нибудь вернуть к исходному виду? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.