Перейти к содержанию

На сервере отработал шифровальщик

Gavriil
 Поделиться

Рекомендуемые сообщения

Gavriil

Gavriil

Опубликовано
Опубликовано

Добрый день. Похожая ситуация. На сервере отработал шифровальщик. Не могли бы помочь с восстановлением файлов? Лог прилагаю.

 

Сообщение от модератора thyrex
Перенесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=61430

2sendf.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\svchost.exe','');
 TerminateProcessByName('f:\old\local.exe');
 QuarantineFile('f:\old\local.exe','');
 TerminateProcessByName('f:\old\realtec.exe');
 QuarantineFile('f:\old\realtec.exe','Trojan-Ransom.Win32.Crusis.to');
 DeleteFile('f:\old\realtec.exe','32');
 DeleteFile('f:\old\local.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','realtec.exe','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Елена\AppData\Roaming\Info.hta','x64');
 DeleteFile('C:\Users\Елена\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Windows\svchost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Gavriil

Gavriil

Опубликовано
  • Автор
Опубликовано

Добрый день

 

все проделал. при загрузке карантина сообщило: 

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

во вложении результат работы логгера

CollectionLog-2018.12.27-17.18.zip

thyrex

thyrex

Опубликовано
Опубликовано

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

не мудрено, если бегать по форумам и выполнять идентичные скрипты по удалению активных вирусов

 

Продолжайте на safezone

  • Согласен 1
Gavriil

Gavriil

Опубликовано
  • Автор
Опубликовано

 

Результат загрузки Ошибка загрузки. Данный файл уже был загружен

не мудрено, если бегать по форумам и выполнять идентичные скрипты по удалению активных вирусов

 

Продолжайте на safezone

 

Вирусы я убил вручную, вычистив реестр, папки загрузки и просмотрев файловую систему. Абсолютно не понятен ваш наезд относительно разных форумов, ведь на данном проблему решить НЕ СМОГЛИ, так почему я должен сидеть сложа руки пока кто-то сможет что-то решить на данном ресурсе? Для меня важен конечный результат, а не то, на каком ресурсе его помогли достигнуть.

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки нет ни в одной антивирусной компании. Продолжайте свои забеги :)

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alex555
      Вирус шифровальщик wallet
      Автор Alex555
      Вирус зашифровал все файлы и переименовал их. Все файлы имеют расширение wallet. Скажите пожалуйста есть ли варианты решения данной проблемы? Пример файла во вложении.
    • jay228
      помогите расшифровать файлы с расширением *.onion
      Автор jay228
      Здраствуйте. не хотел создавать новую тему т.к. похожая ситуация . заметил что в время работы за пк перестал запускатся тотал командер . когда вошел через папку в корне диска С увидел файлы с расширением *.onion . поскольку не чего не запускалось то я сделал перегрузку и зашел в безопасный режим . там выяснилось что с расширением onion только файлы в корне диска С и часть файлов в папках первых по алфавиту. остальное все на месте. Сейчас загрузился с загрузочной флешки и пишу вам. у меня вопрос. возможно я успел до того как вирус пошифровал мне все. возможно как то удалить его и предотвратить его дальнейшую работу не находясь с системного диска а с live-cd или расшифровать зашифрованые файлы для дальнейшего сноса системы ?
       
      п.с. логи не приложил т.к. не загружал систему во избежание дальнейшей потери файлов. могу их предоставить если их можно сделать с загрузочного носителя
    • Анвар
      Шифровальщик
      Автор Анвар
      Поймали вирус, он зашифровал файлы в вид Имя_файла.оригинальное_расширение.id-9CD284DD.[amagnus00@dmx.com].wallet.  Возможна ли дешифровка?
      CollectionLog-2017.04.20-15.36.zip
    • synopsis
      зашифровались файлы [amagnus00@gmx.com].wallet
      Автор synopsis
      зашифровались файлы :
       
      KVRT обнаружил payload_127AMM.exe файлы как Trojan-Ransom.Win32.Crusis.so
       
      RakhniDecryptor не помог
      CollectionLog-2017.04.29-17.28.zip
    • MSBishop
      Новое Расширение: Dharma шифровальщика: .onion
      Автор MSBishop
      Поймали шифровальщик. 
      Со страху пользователь грохнул систему и переустановил ОС поэтому ни логов и прочей информации собрать не удалось, остались только зашифрованные фалы
      Имена фалов изменились по шаблону: config.sys.id -66813FE4.[felix_dies@aol.com].onion
      Идентификация в ID Ransomware: Dharma (.onion)
       
      Для прочих dharma шифровальщиков есть дешифраторы.
      Есть ли шанс что для этого расширения будет дешифратор?
×
×
  • Создать...