komsomolec 0 Опубликовано 17 июня, 2018 Share Опубликовано 17 июня, 2018 Windows Server 2003. Судя по всему вирус попал по RDP (я наблюдал процессы winlogon и (вроде) scrnsrv с кодами сеанса 2), пароль был 123456+три латинских символа. Зашифровал много. Т.к. я побоялся распространения, я сервер выключил и жесткий диск подключил к другой машине, предварительно установив на нее антивирус. Кое-что было в резервных копиях, поэтому я прикладываю:1) оригинальные файлы2) зараженные файлы3) текстовый файл с требованиями злоумышленников, в котором хранится открытый ключ. 4) какой-то кусок svchost из папки temp (возможно чем-то поможет)Если понадобится, я дополнительно могу выслать любые необходимые для решения проблемы файлы. Можно попробовать прогнать диск программами восстановления файлов для выявления исходного вирусного исполняемого файла. Заранее благодарю за помощь! BlackRuby.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 18 июня, 2018 Share Опубликовано 18 июня, 2018 https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Ссылка на сообщение Поделиться на другие сайты
komsomolec 0 Опубликовано 18 июня, 2018 Автор Share Опубликовано 18 июня, 2018 (изменено) https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Этот автологгер можно запустить на другой системе, указав путь к зараженнной на другом диске? Я не уверен, что смогу запустить систему и стремно, что вирус продолжит свое темное дело( Из-под другой системы создал лог uVS из среды восстановления. Если этого недостаточно, сообщите. SERVER_2018-06-18_13-24-10.TXT Изменено 18 июня, 2018 пользователем komsomolec Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 18 июня, 2018 Share Опубликовано 18 июня, 2018 Прикрепите J:\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HOW-TO-DECRYPT-FILES.TXT + Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе. Скопируйте FRST на флэш-накопитель: Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в компьютер. Выберите Командная строка В командной строке введите следующее: notepad и нажмите клавишу Enter. Откроется Блокнот. В меню Файл выберите Открыть. Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот. В окне введите команду e:\frst64.exe и нажмите клавишу Enter Примечание: Замените букву e на букву вашего флэш-накопителя. После того, как программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
komsomolec 0 Опубликовано 19 июня, 2018 Автор Share Опубликовано 19 июня, 2018 В Windows Server 2003 интерфейс восстановления системы другой, конечно, но по аналогии сделал как вы указали. Файл HOW TO DECRYPT уже высылал в первом сообщении, дублирую во вложении. Addition.txt FRST.txt Shortcut.txt HOW-TO-DECRYPT-FILES.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 июня, 2018 Share Опубликовано 20 июня, 2018 Cureit какие-то угрозы находил? Ссылка на сообщение Поделиться на другие сайты
komsomolec 0 Опубликовано 21 июня, 2018 Автор Share Опубликовано 21 июня, 2018 J:\WINDOWS\Temp\agacj.exe - quarantined J:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G6UT1VYE\OJBK[1].exe - quarantined J:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\G6UT1VYE\newupdate[1].exe - quarantined J:\Documents and Settings\All Users\Application Data\Windows\Classes\{a1e7b463-e13e-6517-9ca1-c41ae573976c}\msupdlgf.exe - quarantined Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 23 июня, 2018 Share Опубликовано 23 июня, 2018 Пришлите карантин Cureit в архиве. Ссылка на сообщение Поделиться на другие сайты
komsomolec 0 Опубликовано 24 июня, 2018 Автор Share Опубликовано 24 июня, 2018 Пришлите карантин Cureit в архиве. Он почему-то не сохранился( Я могу попробовать прогнать программой для восстановления и попытаться восстановить файлы вируса. Это может помочь? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 24 июня, 2018 Share Опубликовано 24 июня, 2018 (изменено) Да карантин нужен, чтобы запрос оформить в техподдержку. Здесь по любому придется создавать https://forum.kasperskyclub.ru/index.php?showtopic=48525 запрос Изменено 24 июня, 2018 пользователем mike 1 Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти