Перейти к содержанию

На сервере отработал шифровальщик

Gavriil
 Share

Рекомендуемые сообщения

Gavriil Новичок

Gavriil

Опубликовано
Опубликовано

Добрый день. Похожая ситуация. На сервере отработал шифровальщик. Не могли бы помочь с восстановлением файлов? Лог прилагаю.

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=61430

2sendf.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\svchost.exe','');
 TerminateProcessByName('f:\old\local.exe');
 QuarantineFile('f:\old\local.exe','');
 TerminateProcessByName('f:\old\realtec.exe');
 QuarantineFile('f:\old\realtec.exe','Trojan-Ransom.Win32.Crusis.to');
 DeleteFile('f:\old\realtec.exe','32');
 DeleteFile('f:\old\local.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','realtec.exe','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Елена\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\Users\Елена\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Windows\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Gavriil Новичок

Gavriil

Опубликовано
  • Автор
Опубликовано

Добрый день

 

все проделал. при загрузке карантина сообщило: 

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

во вложении результат работы логгера

CollectionLog-2018.12.27-17.18.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

не мудрено, если бегать по форумам и выполнять идентичные скрипты по удалению активных вирусов

 

Продолжайте на safezone

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Gavriil Новичок

Gavriil

Опубликовано
  • Автор
Опубликовано

 

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

не мудрено, если бегать по форумам и выполнять идентичные скрипты по удалению активных вирусов

 

Продолжайте на safezone

 

Вирусы я убил вручную, вычистив реестр, папки загрузки и просмотрев файловую систему. Абсолютно не понятен ваш наезд относительно разных форумов, ведь на данном проблему решить НЕ СМОГЛИ, так почему я должен сидеть сложа руки пока кто-то сможет что-то решить на данном ресурсе? Для меня важен конечный результат, а не то, на каком ресурсе его помогли достигнуть.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • slot9543
      Поймали шифровальщика на сервер
      От slot9543
      Поймали шифровальщика на несколько виртуальных серверов которые находятся на одном гипервизоре VMware.
      Собрал информацию для одного из серверов (есть еще второй зашифрованный, но он пока не запускается).

      В систему проникли основательно, удалили все вируталки с бекапами.
      Бэкапов нет, очень хочется расшифровать.

      В системе присутствует файл C:\WINDOWS\VSS\WRITERS\APPLICATION\PES.EXE
      Упаковал его в архив с паролем virus и готов скинуть ссылку на этот архив в облаке.


      Заранее спасибо!
      ЗашифрованныеФайлы.zip Addition.txt FRST.txt
    • chernikovd
      Поймали шифровальщика на несколько серверов
      От chernikovd
      Добрый день!
      поймали шифровальщика.. утром сотрудники не смогли запустить 1с, позвонили мне я подключился к серверу и понял, что файлы зашифрованны, зашел в папку с базами основная база весит20Г и она не была зашифрована.. я удивился и начал ее копировать на другой комп оставалось минут 10 и сервер выключился. после того как приехал и включил сервер обнаружил зашифрованный файл и не зашифрованный я скопировал не зашифрованный и его логи и базу данных удалось подключить. Так же взломали комп с бэкапами и испортили файловую систему. очень хочется расшифровать все.. на самом деле зашифровано 3 сервера прислал инфу только по одному
       
      спасибо
      ЗашифрованыеФайлы.7z Addition.txt FRST.txt
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • website9527633
      Переобращение агента на сервер KSC
      От website9527633
      Добрый день! Возник вопрос при обращении агентов удаленно посредством запуска скрипта на рабочих станциях, вопрос: как в Агенте администрирования 15 на рабочих станциях, в скрипте указать пароль от удаления Агента администрирования?
      К примеру у меня скрипт отрабатывал таким образом, но в случае версии Агента администрирования 15, он запрашивает дополнительно пароль от удаления
      @echo off
      start "" "C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klmover.exe" -address 192.168.1.1 -silent
    • sduganov
      зашифровали сервер 1С
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
×
×
  • Создать...