ridoflife 0 Опубликовано 21 сентября, 2018 Share Опубликовано 21 сентября, 2018 (изменено) Добрый день! Во всех папках, в том числе сетевого диска Z, появились файлы README.txt c cодержанием: Your files was encrypted! Write us: hola-veglass@x-mail.pro hola-veglass@x-mail.pro hola-veglass@x-mail.pro Некоторые файл .exe зашифрованны и переименнова в название вируса. Активность была только в один день, но так и не понятно откуда взялся данный вирус. Помогите найти дыру и избежать запуска с других компьютеров. Спасибо! CollectionLog-2018.09.21-12.30.zip Изменено 21 сентября, 2018 пользователем ridoflife Цитата Ссылка на сообщение Поделиться на другие сайты
kmscom 2 281 Опубликовано 21 сентября, 2018 Share Опубликовано 21 сентября, 2018 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 21 сентября, 2018 Автор Share Опубликовано 21 сентября, 2018 Извините, лог файл прикрепил к шапке Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 21 сентября, 2018 Share Опубликовано 21 сентября, 2018 Здравствуйте! Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора). Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 21 сентября, 2018 Автор Share Опубликовано 21 сентября, 2018 Пожалуйста CollectionLog-2018.09.21-14.32.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 сентября, 2018 Share Опубликовано 21 сентября, 2018 @ridoflife, Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 21 сентября, 2018 Автор Share Опубликовано 21 сентября, 2018 (изменено) Пожалуйста Report.7z Изменено 21 сентября, 2018 пользователем ridoflife Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 сентября, 2018 Share Опубликовано 21 сентября, 2018 @ridoflife, пользователь kassa_cs не имеет прав админа, соберите логи под учётной записью с правами администратора. Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 21 сентября, 2018 Автор Share Опубликовано 21 сентября, 2018 @ridoflife, пользователь kassa_cs не имеет прав админа, соберите логи под учётной записью с правами администратора. Report.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 сентября, 2018 Share Опубликовано 21 сентября, 2018 @ridoflife, вы не поняли, репорты больше не нужны. Они были нужны только для того чтобы выяснить почему Автологер продолжил у вас работу, это уже выяснил и исправил. Если вы заново скачаете Автологер, то там это уже исправлено. Так что можете скачать его заново и проверить. А нужен лог CollectionLog собранный под учётной записью с правами администратора. Кстати, последние репорты работы Автологера работающего под админской учёткой. Так что можете просто прикрепить файл CollectionLog-2018.09.21-16.57.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 22 сентября, 2018 Share Опубликовано 22 сентября, 2018 Пришлите пожалуйста несколько зашифрованных файлов в архиве. Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 24 сентября, 2018 Автор Share Опубликовано 24 сентября, 2018 @ridoflife, вы не поняли, репорты больше не нужны. Они были нужны только для того чтобы выяснить почему Автологер продолжил у вас работу, это уже выяснил и исправил. Если вы заново скачаете Автологер, то там это уже исправлено. Так что можете скачать его заново и проверить. А нужен лог CollectionLog собранный под учётной записью с правами администратора. Кстати, последние репорты работы Автологера работающего под админской учёткой. Так что можете просто прикрепить файл CollectionLog-2018.09.21-16.57.zip Пришлите пожалуйста несколько зашифрованных файлов в архиве. CollectionLog-2018.09.21-16.57.zip 11111.rar Цитата Ссылка на сообщение Поделиться на другие сайты
ridoflife 0 Опубликовано 24 сентября, 2018 Автор Share Опубликовано 24 сентября, 2018 Здравствуйте! Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора). Спасибо, дешифратор помог! Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 24 сентября, 2018 Share Опубликовано 24 сентября, 2018 Здравствуйте! Переделайте логи под учётной записью с правами администратора (или запустите сборщик правой кнопкой от имени администратора). Спасибо, дешифратор помог! А теперь сходите в магазин, купите себе внешний жесткий диск и скопируйте на него всю важную информацию. Иначе в следующий раз будете из своего кармана платить злоумышленникам за дешифратор с ключом. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 25 сентября, 2018 Share Опубликовано 25 сентября, 2018 @ridoflife, проверьте уязвимые места: Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут). Перезагрузите компьютер. Снова выполните этот скрипт и убедитесь, что уязвимости устранены. Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.