fgu662018 0 Опубликовано 8 июля, 2018 Share Опубликовано 8 июля, 2018 (изменено) Здравствуйте! Подхватили шифровальщик, оказались зашифрованы файлы на всех серверах, в том числе виртуальные машины, везде, куда был доступ у доменного администратора. Но не на всех компьютерах, доступных по сети, видимо что то помешало шифровальщику. Во всех папках лежит файл how_to_back_files.html, его тоже прикрепляю. На компьютерах стоит KasperskyEndpointSecurity ping all cameras.cmd.zip - пример зашифрованного файла (это был батник) CollectionLog-2018.07.08-20.35.zip how_to_back_files.zip ping all cameras.cmd.zip Изменено 8 июля, 2018 пользователем fgu662018 Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 8 июля, 2018 Share Опубликовано 8 июля, 2018 Это GlobeImposter 2.0, с рассшировкой помочь не сможем. Только дочистить хвосты. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); DeleteFile('C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.MARK', '64'); DeleteFile('C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html', '64'); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SMB\UninstallSMB1ClientTask" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SMB\UninstallSMB1ServerTask" /F', 0, 15000, true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
fgu662018 0 Опубликовано 8 июля, 2018 Автор Share Опубликовано 8 июля, 2018 Большое спасибо за оперативность! Подскажите, у меня еще несколько зараженных серверов, и возможно компьютеры пользователей. Есть смысл выполнить на них этот скрипт АВЗ, или он специфичен для каждой системы? (вижу в скрипте пути до конкретных файлов) Раз восстановление не возможно, сейчас стоит задача прекратить заражение и убить вирус. Убьет ли KVRT этот вирус на серверах и компьютерах? Или воспользоваться чем-то еще? Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 8 июля, 2018 Share Опубликовано 8 июля, 2018 смысл выполнить на них этот скрипт АВЗ, или он специфичен для каждой системы? специфичен для каждой системы. Если есть подозрение, что вирус попал на другие компы, а не просто пошифровал рассшаренные папки, то создайте для них отдельные темы. Убьет ли KVRT этот вирус на серверах и компьютерах? Или воспользоваться чем-то еще? У KVRT и у KES (если он актуален) одни и теже антивирусные базы, так что сканирование KES будет равносильно. Отключите до перезагрузки антивирус. Выделите следующий код:Start:: CreateRestorePoint: Startup: C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_back_files.html [2018-07-07] () GroupPolicy: Restriction ? <==== ATTENTION 2018-07-07 03:49 - 2018-07-07 03:49 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html 2018-07-07 03:49 - 2018-07-07 03:49 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html 2018-07-07 03:48 - 2018-07-07 03:48 - 000005152 _____ C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_back_files.html 2018-07-07 03:48 - 2018-07-07 03:48 - 000005152 _____ C:\Users\umnik\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_back_files.html 2018-07-07 02:06 - 2018-07-07 02:06 - 000005152 _____ C:\Program Files\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Roaming\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\druzhinin-mv\AppData\Local\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\Default\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\Documents\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\buro-5\Desktop\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Downloads\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Documents\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Users\1\Desktop\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ C:\Program Files (x86)\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Все пользователи\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\Downloads\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\Desktop\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\umnik\AppData\Local\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Downloads\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Documents\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\slepuhin-vs\Desktop\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Downloads\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Documents\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\Public\Desktop\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Downloads\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Documents\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\Users\druzhinin-mv\Desktop\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\ProgramData\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ C:\how_to_back_files.html 2018-07-07 02:06 - 2018-07-07 02:06 - 000005152 _____ () C:\Program Files\how_to_back_files.html 2018-07-07 02:05 - 2018-07-07 02:05 - 000005152 _____ () C:\Program Files (x86)\how_to_back_files.html 2018-07-07 02:03 - 2018-07-07 02:03 - 000005152 _____ () C:\Users\umnik\AppData\Local\how_to_back_files.html Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти