_Пэ_ 0 Опубликовано 20 декабря, 2018 Share Опубликовано 20 декабря, 2018 (изменено) Здравствуйте. Поймали вчера на сервер(через РДП) шифровальщик - все файлы кроме системных зашифрованы: вместо имени абракадабра.lol Лог во вложении. CollectionLog-2018.12.20-13.18.zip Изменено 20 декабря, 2018 пользователем _Пэ_ Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 20 декабря, 2018 Share Опубликовано 20 декабря, 2018 "Пофиксите" в HijackThis: O22 - Task: \Microsoft\Windows\Windows Server Essentials\BPA Scheduled Scan - C:\Windows\system32\windowspowershell\v1.0\powershell.exe -EncodedCommand SQBuAHYAbwBrAGUALQBXAHMAcwBCAHAAYQBTAGMAYQBuAA== -NoLogo -NoProfile -NonInteractive O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat после этого сделайте свежие логи Автологером. и почему логи делали из безопасного режима? Свежие логи сделайте из обычного. Ссылка на сообщение Поделиться на другие сайты
_Пэ_ 0 Опубликовано 21 декабря, 2018 Автор Share Опубликовано 21 декабря, 2018 из безопасного - потому, что из обычного не запускается.. CollectionLog-2018.12.21-10.31.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 21 декабря, 2018 Share Опубликовано 21 декабря, 2018 Сами вместо DNS прописали 127.0.0.1 ? Radmin - как понимаю ваш? C:\HELP HELP HELP.TXT и пример зашифрованного файла прикрепите к сообщению. + Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме. Ссылка на сообщение Поделиться на другие сайты
_Пэ_ 0 Опубликовано 21 декабря, 2018 Автор Share Опубликовано 21 декабря, 2018 ДНС - нет. Радмин - да Сами вместо DNS прописали 127.0.0.1 ? Radmin - как понимаю ваш? https://yadi.sk/d/qQaSL8cj1G8Vbg HELP HELP HELP.TXT Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 21 декабря, 2018 Share Опубликовано 21 декабря, 2018 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. PS. это вариация Scarab, так что шансов не очень много. Только если он не до конца отработал. Ссылка на сообщение Поделиться на другие сайты
_Пэ_ 0 Опубликовано 21 декабря, 2018 Автор Share Опубликовано 21 декабря, 2018 Спасибо, уже создал. Надеюсь помогут. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти