vl_gen 0 Опубликовано 18 июля, 2018 Share Опубликовано 18 июля, 2018 (изменено) Предположение что к ПК подключились по RDP и запустили шифровальщик. Вирус мы удалили утилитами Касперского, также дополнительно просканировали DrWeb CureIt. Прошу помочь почистить "хвосты". CollectionLog-2018.07.18-16.36.zip Изменено 18 июля, 2018 пользователем vl_gen Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 18 июля, 2018 Share Опубликовано 18 июля, 2018 (изменено) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow O4 - HKLM\..\Run: [1task.exe] = C:\Windows\System32\1task.exe (file missing) O4 - Startup other users: C:\Users\Alexandrova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow O4 - Startup other users: C:\Users\yakovlev_vg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow O4 - User Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-E07776B1.[decrypthelp@qq.com].arrow Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 18 июля, 2018 пользователем akoK Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 18 июля, 2018 Share Опубликовано 18 июля, 2018 (изменено) + =========================== O23 - Service S2: SQL Server (MSSQLSERVER) - (MSSQLSERVER) - C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\sqlservr.exe (file missing) -sMSSQLSERVER O23 - Service S2: Агент SQL Server (MSSQLSERVER) - (SQLSERVERAGENT) - C:\Program Files\Microsoft SQL Server\MSSQL11.MSSQLSERVER\MSSQL\Binn\SQLAGENT.EXE (file missing) -i MSSQLSERVER O23 - Service S2: Агент сервера 1С:Предприятия 8.2 (x86-64) - (1C:Enterprise 8.2 Server Agent (x86-64)) - C:\Program Files\1cv82\8.2.19.130\bin\ragent.exe (file missing) -srvc -agent -debug -regport 1541 -port 1540 -range 1560:1591 -d "C:\Program Files\1cv82\srvinfo" O23 - Service S3: Microsoft Office Diagnostics Service - (odserv) - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE (file missing) O23 - Service S3: Office Source Engine - (ose) - C:\Program Files (x86)\Common Files\Microsoft Shared\Source Engine\OSE.EXE (file missing) файлы этих служб видно тоже пошифровало, для нормальной работы вручную скопируйте их с аналогичной системы. Изменено 18 июля, 2018 пользователем regist 1 Ссылка на сообщение Поделиться на другие сайты
vl_gen 0 Опубликовано 18 июля, 2018 Автор Share Опубликовано 18 июля, 2018 Отчеты. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 18 июля, 2018 Share Опубликовано 18 июля, 2018 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: Task: {9ECDE69F-0482-4A72-9E68-1EF5A788C862} - \e6f15c29-785f-41e3-a9b8-e9c15abf6c210 -> No File <==== ATTENTION End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер самостоятельно. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
vl_gen 0 Опубликовано 19 июля, 2018 Автор Share Опубликовано 19 июля, 2018 Сделано. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 19 июля, 2018 Share Опубликовано 19 июля, 2018 В принципе все почистили. Соберите зашифрованные файлы в отдельном месте, чтоб не засоряли папки (например так) Подготовьте лог лог SecurityCheck by glax24 Ссылка на сообщение Поделиться на другие сайты
vl_gen 0 Опубликовано 19 июля, 2018 Автор Share Опубликовано 19 июля, 2018 Понятно. Благодарствую! Лог, наверно, пока не имеет смысла делать, в Programm Files тоже много чего зашифровал. Придется сначала восстановить. Ссылка на сообщение Поделиться на другие сайты
akoK 113 Опубликовано 19 июля, 2018 Share Опубликовано 19 июля, 2018 Хорошо, после сможете сами обработать лог и обновить устаревшее ПО. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти