Перейти к содержанию

вирус email-hola-veglass@x-mail.pro

ridoflife
 Поделиться

Рекомендуемые сообщения

ridoflife

ridoflife

Опубликовано
Опубликовано (изменено)

Добрый день!

Во всех папках, в том числе сетевого диска Z, появились файлы README.txt c cодержанием:

 

Your files was encrypted! Write us:

hola-veglass@x-mail.pro
hola-veglass@x-mail.pro
hola-veglass@x-mail.pro

Некоторые файл .exe зашифрованны и переименнова в название вируса.

Активность была только в один день, но так и не понятно откуда взялся данный вирус. Помогите найти дыру и избежать запуска с других компьютеров. Спасибо!

CollectionLog-2018.09.21-12.30.zip

Изменено пользователем ridoflife
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора).

regist

regist

Опубликовано
Опубликовано

@ridoflife, Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.
regist

regist

Опубликовано
Опубликовано

@ridoflife, пользователь kassa_cs не имеет прав админа, соберите логи под учётной записью с правами администратора.

ridoflife

ridoflife

Опубликовано
  • Автор
Опубликовано

@ridoflife, пользователь kassa_cs не имеет прав админа, соберите логи под учётной записью с правами администратора.

Report.7z

regist

regist

Опубликовано
Опубликовано

@ridoflife, вы не поняли, репорты больше не нужны. Они были нужны только для того чтобы выяснить почему Автологер продолжил у вас работу, это уже выяснил и исправил. Если вы заново скачаете Автологер, то там это уже исправлено. Так что можете скачать его заново и проверить.

А нужен лог CollectionLog собранный под учётной записью с правами администратора.


Кстати, последние репорты работы Автологера работающего под админской учёткой. Так что можете просто прикрепить файл CollectionLog-2018.09.21-16.57.zip

mike 1

mike 1

Опубликовано
Опубликовано

Пришлите пожалуйста несколько зашифрованных файлов в архиве. 

ridoflife

ridoflife

Опубликовано
  • Автор
Опубликовано

@ridoflife, вы не поняли, репорты больше не нужны. Они были нужны только для того чтобы выяснить почему Автологер продолжил у вас работу, это уже выяснил и исправил. Если вы заново скачаете Автологер, то там это уже исправлено. Так что можете скачать его заново и проверить.

А нужен лог CollectionLog собранный под учётной записью с правами администратора.

Кстати, последние репорты работы Автологера работающего под админской учёткой. Так что можете просто прикрепить файл CollectionLog-2018.09.21-16.57.zip

Пришлите пожалуйста несколько зашифрованных файлов в архиве. 

CollectionLog-2018.09.21-16.57.zip

11111.rar

ridoflife

ridoflife

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора).

Спасибо, дешифратор помог!

mike 1

mike 1

Опубликовано
Опубликовано

 

Здравствуйте!

 

Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора).

Спасибо, дешифратор помог!

 

А теперь сходите в магазин, купите себе внешний жесткий диск и скопируйте на него всю важную информацию. Иначе в следующий раз будете из своего кармана платить злоумышленникам за дешифратор с ключом.  

Sandor

Sandor

Опубликовано
Опубликовано

@ridoflife, проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

 

Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...