Перейти к содержанию

Заражение [decrypthelp@qq.com].arrow

Vladimir.Petrov
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Увы, расшифровки для этого типа вымогателя нет.

 

Очень устаревшая версия антивируса у Вас установлена. Обновите.

 

Для очистки следов и мусора дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Заражение точно произошло на этом компьютере?

Vladimir.Petrov

Vladimir.Petrov

Опубликовано
  • Автор
Опубликовано

Заражение точно произошло на этом компьютере?

Это лог с сервера. Зашифрованы файлы в общей папке на сервере. Буду проверяю остальные компьютеры(прим.50)

Vladimir.Petrov

Vladimir.Petrov

Опубликовано
  • Автор
Опубликовано

AVZ при скане выдает вот это(и после сканирования FRST тоже .Надо FIX?

7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\CIMntfy\CIMntfy.exe ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности)
>>> C:\WINDOWS\system32\CPQNiMgt\CPQNiMgt.exe ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности)

Sandor

Sandor

Опубликовано
Опубликовано

Я видел. Это от продуктов HP.

Для верности, проверьте эти файлы на www.virustotal.com

Результат покажите (ссылку на него вставьте в сообщение).

Sandor

Sandor

Опубликовано
Опубликовано

Во избежание путаницы, создавайте для каждого ПК отдельную тему и начинайте с CollectionLog средствами Автологера.

проверьте эти файлы на www.virustotal.com Результат покажите (ссылку на него вставьте в сообщение)

Проверили?
Sandor

Sandor

Опубликовано
Опубликовано

Для этого компьютера проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Vladimir.Petrov

Vladimir.Petrov

Опубликовано
  • Автор
Опубликовано

Подскажите,как определить откуда шифровальщик запустился?RDP или по почте?

Sandor

Sandor

Опубликовано
Опубликовано

Возможны оба варианта. Пароль на RDP смените так или иначе.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Platform: Microsoft® Windows® Server 2003, Enterprise Edition Service Pack 2 (X86) Language: English (United States)

Internet Explorer Version 6 (Default browser: Opera)

Сервер не обновляется вот и ломанули с помощью эксплойта или банального перебора если политики не настроены. 

 

==================== Accounts: =============================

 
Administrator (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile

Это вообще не безопасно. Гораздо проще подбирать пароли к стандартным учетным записям Windows, чем к нестандартным УЗ. Зачем Вам 3 УЗ Администратора? Порт 3389 у Вас открыт на сервере?

 

administartor (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile

administrator$ (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile
Изменено пользователем mike 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...