Ulvi 0 Опубликовано 15 июля, 2018 Share Опубликовано 15 июля, 2018 Добрый день. Наш сервер зашифрован шифровальщиком Gust. Исходя из найденных данных по форуму это GlobeImposter 2 для которой нет дешифраторов. Kaspersky Virus Removal Tool обнаружил как "HEUR:Trojan.Win32.Generic" Дорогие специалисты, что надо делать в таких случаях и что не надо делать? Может ли вирус распространиться по сети другим ПК? Стоит ли удалить вирус софтом KVRT или пока дождаться советов от специалистов форума? Сервер DC + 1C Ссылка на сообщение Поделиться на другие сайты
kmscom 2 359 Опубликовано 15 июля, 2018 Share Опубликовано 15 июля, 2018 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». Ссылка на сообщение Поделиться на другие сайты
Ulvi 0 Опубликовано 16 июля, 2018 Автор Share Опубликовано 16 июля, 2018 файлы зашифрованы в расширение gust. работал по rdp, и обнаружил что файлы меняют расширения.вирус попал от имени другого аккаунта (у которого было право администратора домена), понял это когда заглянул в диспетчер задач (этим аккаунтом никто не пользуется, но аккаунт был в списке активных пользователей диспетчера задач) проверил сервер Kaspersky VRT, вирус был обнаружен в каталоге этого пользователя.обнаружен "HEUR:Trojan.Win32.Generic" лог в приложении CollectionLog-2018.07.16-10.05.zip Сообщение от модератора thyrex Темы объединены Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 16 июля, 2018 Share Опубликовано 16 июля, 2018 Темы плодить не нужно. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Ulvi 0 Опубликовано 16 июля, 2018 Автор Share Опубликовано 16 июля, 2018 (изменено) пожалуйста. KAV.7z Изменено 16 июля, 2018 пользователем Ulvi Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 16 июля, 2018 Share Опубликовано 16 июля, 2018 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\1C_service\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\1C_service\Downloads\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\1C_service\Documents\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\1C_service\Desktop\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\1C_service\AppData\Local\Temp\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_vos\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_vos\Downloads\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_vos\Documents\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_vos\Desktop\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_vos\AppData\Local\Temp\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_inet\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_inet\Downloads\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_inet\Documents\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Users\!admin_inet\Desktop\how_to_back_files.html 2018-07-15 23:15 - 2018-07-15 23:15 - 000005152 _____ C:\Program Files (x86)\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\sevda.m\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\sevda.m\Downloads\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\sevda.m\Documents\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\sevda.m\Desktop\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Public\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Public\Downloads\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Public\Documents\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Public\Desktop\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\polina.m\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\polina.m\Downloads\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\polina.m\Documents\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\polina.m\Desktop\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\jamila_b\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\jamila_b\Desktop\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Default\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Classic .NET AppPool\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\ayla.a\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\ayla.a\Downloads\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\ayla.a\Documents\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\ayla.a\Desktop\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\arunkov\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\arunkov\Downloads\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\arunkov\Documents\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\arunkov\Desktop\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Administrator\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Administrator\Downloads\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Administrator\Documents\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Administrator\Desktop\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\Users\Administrator\AppData\Local\Temp\how_to_back_files.html 2018-07-15 23:14 - 2018-07-15 23:14 - 000005152 _____ C:\ProgramData\how_to_back_files.html 2018-07-15 23:13 - 2018-07-15 23:13 - 000005152 _____ C:\Users\support2\how_to_back_files.html 2018-07-15 23:13 - 2018-07-15 23:13 - 000005152 _____ C:\Users\support2\Downloads\how_to_back_files.html 2018-07-15 23:13 - 2018-07-15 23:13 - 000005152 _____ C:\Users\support2\Documents\how_to_back_files.html 2018-07-15 23:13 - 2018-07-15 23:13 - 000005152 _____ C:\Users\support2\Desktop\how_to_back_files.html 2018-07-15 23:13 - 2018-07-15 23:13 - 000005152 _____ C:\Users\support1\how_to_back_files.html 2018-07-15 23:13 - 2018-07-15 23:13 - 000005152 _____ C:\Users\support1\Downloads\how_to_back_files.html 2018-07-15 23:13 - 2018-07-15 23:13 - 000005152 _____ C:\Users\support1\Documents\how_to_back_files.html 2018-07-15 23:13 - 2018-07-15 23:13 - 000005152 _____ C:\Users\support1\Desktop\how_to_back_files.html 2018-07-15 23:09 - 2018-07-15 23:09 - 000005152 _____ C:\Users\ulvi\AppData\Local\Temp\how_to_back_files.html 2018-07-15 23:08 - 2018-07-15 23:08 - 000005152 _____ C:\Users\ulvi\Downloads\how_to_back_files.html 2018-07-15 23:08 - 2018-07-15 23:08 - 000005152 _____ C:\Users\ulvi\Documents\how_to_back_files.html 2018-07-15 23:08 - 2018-07-15 23:08 - 000005152 _____ C:\Users\ulvi\Desktop\how_to_back_files.html 2018-07-15 23:08 - 2018-07-15 23:08 - 000005152 _____ C:\Users\ulvi\AppData\Roaming\how_to_back_files.html 2018-07-15 23:07 - 2018-07-15 23:07 - 000005152 _____ C:\Users\ulvi\how_to_back_files.html 2018-07-15 23:05 - 2018-07-15 23:05 - 000005152 _____ C:\Users\vpn\how_to_back_files.html 2018-07-15 23:05 - 2018-07-15 23:05 - 000005152 _____ C:\Users\vpn\Downloads\how_to_back_files.html 2018-07-15 23:05 - 2018-07-15 23:05 - 000005152 _____ C:\Users\vpn\Documents\how_to_back_files.html 2018-07-15 23:05 - 2018-07-15 23:05 - 000005152 _____ C:\Users\vpn\Desktop\how_to_back_files.html 2018-07-15 23:05 - 2018-07-15 23:05 - 000005152 _____ C:\Users\USR1CV8\how_to_back_files.html 2018-07-15 23:05 - 2018-07-15 23:05 - 000005152 _____ C:\Users\USR1CV8\Desktop\how_to_back_files.html 2018-07-15 23:05 - 2018-07-15 23:05 - 000005152 _____ C:\Users\USR1CV8\AppData\Local\Temp\how_to_back_files.html 2018-07-15 23:05 - 2018-07-15 23:05 - 000005152 _____ C:\Users\how_to_back_files.html 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта. Ссылка на сообщение Поделиться на другие сайты
Ulvi 0 Опубликовано 16 июля, 2018 Автор Share Опубликовано 16 июля, 2018 пожалуйста. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 16 июля, 2018 Share Опубликовано 16 июля, 2018 Мусор почистили. Больше помочь нечем. Ссылка на сообщение Поделиться на другие сайты
Ulvi 0 Опубликовано 16 июля, 2018 Автор Share Опубликовано 16 июля, 2018 спасибо большое. Есть смысл переустановки ОС, или достаточно переустановить только вышедшие из строя ПО? На сервере 2 диска. заражение получил 1-ый диск (система Windows, где не велась теневая копия), а 2-ой диск вёл теневую копию откуда и хочу восстановить данные 2ого диска. для предотвращения таких атак какие меры рекомендуете? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 16 июля, 2018 Share Опубликовано 16 июля, 2018 Просто переустановите неработающее. Пароль от RDP смените, ибо судя по времени шифрования зашли, подобрав пароль. Да и работающих защитных решений вообще не обнаружено, хотя в списке установленных программ присутствует антивирус от Eset Ссылка на сообщение Поделиться на другие сайты
Ulvi 0 Опубликовано 29 августа, 2018 Автор Share Опубликовано 29 августа, 2018 До заражения была установлена Программное обеспечение UPSMON Manager для мониторинга нескольких ИБП в локальной сети (http://pcm.ru/catalog/item/1673/). Может быть что это программа являться виновником? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 29 августа, 2018 Share Опубликовано 29 августа, 2018 Сомнительно. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти