tutanota.com ех (

[asv 0]

Здравствуйте. На момент заражения на компьютере не был установлен антивирус. 
Сработал от пользователя secret в терминальном режиме на сервере баз 1С8 примерно в 2 ночи 11 октября

33.rar

CollectionLog-2018.10.12-13.38.zip

Изменено 12 октября, 2018 пользователем asv

[SQ 785]

Здравствуйте,

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F36343635373336423734364637303245363936453639','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F3537363936453634364637373230353337373639373436333638363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F35333638364637373733323034343635373336423734364637303245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F353336353732373636353732323034443631364536313637363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\73657175726540747574612E696F5F344336313735364536333638323034393645373436353732364536353734323034353738373036433646373236353732323034323732364637373733363537323245364336453642','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\68656C707340747574616E6F74612E636F6D5F343834463537323034343435343335323439353035343230343634393443343535333245363837343631','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\524541444D452E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\484F5720444543524950542046494C45532E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\73657175726540747574612E696F5F36343635373336423734364637303245363936453639','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\524541444D452E687461','');
 QuarantineFile('C:\Users\secret\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\484F5720444543524950542046494C45532E687461','');
BC_ImportQuarantineList;
BC_Activate;
end.

После выполнения скрипта перезагрузите сервер вручную.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[asv 0]

Добрый день. Архив quarantine.zip оказался пустым

FRST.txt

Addition.txt

[SQ 785]

В логах ничего плохого не видно. как и файлов злоумышлинников. Возможно вы ранее уже почистили. Кроме следующих:

2018-10-11 02:02 - 2018-10-11 02:02 - 000001228 _____ C:\Users\Все пользователи\README.txt
2018-10-11 02:02 - 2018-10-11 02:02 - 000001228 _____ C:\ProgramData\README.txt

Пробуйте выполнить запрос на расшифровку.