Заражение шифровальщиком

[vl_gen]

Предположение что к ПК подключились по RDP и запустили  шифровальщик.

Вирус мы удалили утилитами Касперского, также дополнительно просканировали DrWeb CureIt.

Прошу помочь почистить "хвосты".

CollectionLog-2018.07.18-16.36.zip

Изменено 18 июля, 2018 пользователем vl_gen

[akoK]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

 

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow
O4 - HKLM\..\Run: [1task.exe] = C:\Windows\System32\1task.exe  (file missing)
O4 - Startup other users: C:\Users\Alexandrova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow
O4 - Startup other users: C:\Users\yakovlev_vg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow
O4 - User Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 18 июля, 2018 пользователем akoK

[regist]

+

===========================

O23 - Service S2: SQL Server (MSSQLSERVER) - (MSSQLSERVER) - C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (file missing) -sMSSQLSERVER
O23 - Service S2: Агент SQL Server (MSSQLSERVER) - (SQLSERVERAGENT) - C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE (file missing) -i MSSQLSERVER
O23 - Service S2: Агент сервера 1С:Предприятия 8.2 (x86-64) - (1C:Enterprise 8.2 Server Agent (x86-64)) - C:\Program Files\1cv82\8.2.19.130\bin\ragent.exe (file missing) -srvc -agent -debug -regport 1541 -port 1540 -range 1560:1591 -d "C:\Program Files\1cv82\srvinfo"
O23 - Service S3: Microsoft Office Diagnostics Service - (odserv) - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing)
O23 - Service S3: Office Source Engine - (ose) - C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE (file missing)

файлы этих служб видно тоже пошифровало, для нормальной работы вручную скопируйте их с аналогичной системы.

Изменено 18 июля, 2018 пользователем regist

[vl_gen]

Отчеты.

Addition.txt

FRST.txt

[akoK]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Task: {9ECDE69F-0482-4A72-9E68-1EF5A788C862} - \e6f15c29-785f-41e3-a9b8-e9c15abf6c210 -> No File <==== ATTENTION
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер самостоятельно.

 

Подробнее читайте в этом руководстве.

[vl_gen]

Сделано.

Fixlog.txt

[akoK]

В принципе все почистили. Соберите зашифрованные файлы в отдельном месте, чтоб не засоряли папки (например так)

 

Подготовьте лог лог SecurityCheck by glax24

[vl_gen]

Понятно. Благодарствую!

Лог, наверно, пока не имеет смысла делать, в Programm Files тоже много чего зашифровал. Придется сначала восстановить.

[akoK]

Хорошо, после сможете сами обработать лог и обновить устаревшее ПО.