_Пэ_ Опубликовано 20 декабря, 2018 Опубликовано 20 декабря, 2018 (изменено) Здравствуйте. Поймали вчера на сервер(через РДП) шифровальщик - все файлы кроме системных зашифрованы: вместо имени абракадабра.lol Лог во вложении. CollectionLog-2018.12.20-13.18.zip Изменено 20 декабря, 2018 пользователем _Пэ_
regist Опубликовано 20 декабря, 2018 Опубликовано 20 декабря, 2018 "Пофиксите" в HijackThis: O22 - Task: \Microsoft\Windows\Windows Server Essentials\BPA Scheduled Scan - C:\Windows\system32\windowspowershell\v1.0\powershell.exe -EncodedCommand SQBuAHYAbwBrAGUALQBXAHMAcwBCAHAAYQBTAGMAYQBuAA== -NoLogo -NoProfile -NonInteractive O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat после этого сделайте свежие логи Автологером. и почему логи делали из безопасного режима? Свежие логи сделайте из обычного.
_Пэ_ Опубликовано 21 декабря, 2018 Автор Опубликовано 21 декабря, 2018 из безопасного - потому, что из обычного не запускается.. CollectionLog-2018.12.21-10.31.zip
regist Опубликовано 21 декабря, 2018 Опубликовано 21 декабря, 2018 Сами вместо DNS прописали 127.0.0.1 ? Radmin - как понимаю ваш? C:\HELP HELP HELP.TXT и пример зашифрованного файла прикрепите к сообщению. + Выполните скрипт в АВЗ (Файл - Выполнить скрипт): var PathAutoLogger, CMDLine : string; begin clearlog; PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4)); AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger); SaveLog(PathAutoLogger+'report3.log'); if FolderIsEmpty(PathAutoLogger+'CrashDumps') then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"' else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"'; ExecuteFile('7za.exe', CMDLine, 0, 180000, false); AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)); end. архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников https://disk.yandex.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ , http://file.karelia.ru/ и дайте на него ссылку в Вашей теме.
_Пэ_ Опубликовано 21 декабря, 2018 Автор Опубликовано 21 декабря, 2018 ДНС - нет. Радмин - да Сами вместо DNS прописали 127.0.0.1 ? Radmin - как понимаю ваш? https://yadi.sk/d/qQaSL8cj1G8Vbg HELP HELP HELP.TXT
regist Опубликовано 21 декабря, 2018 Опубликовано 21 декабря, 2018 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. PS. это вариация Scarab, так что шансов не очень много. Только если он не до конца отработал.
_Пэ_ Опубликовано 21 декабря, 2018 Автор Опубликовано 21 декабря, 2018 Спасибо, уже создал. Надеюсь помогут.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти