Перейти к содержанию

шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

andrey20021964
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Автологер ведь предупредил, что:

Логи сделаны в терминальной сессии, сделайте их из консоли.

regist

regist

Опубликовано
Опубликовано

Топаете к серверу и собираете на нём логи.

andrey20021964

andrey20021964

Опубликовано
  • Автор
Опубликовано

я прошу прощения, мне раньше не приходилось этого делать. на самом сервер все администрирование зашифровано. Как это сделать при помощи автологера?

Sandor

Sandor

Опубликовано
Опубликовано

При помощи Автологера вам нужно собрать отчет CollectionLog, только запускать Автологер нужно не из терминальной сессии, а непосредственно на самом сервере.

andrey20021964

andrey20021964

Опубликовано
  • Автор
Опубликовано

вообще то я так и делал


завтра попробую в безопасном режиме

Sandor

Sandor

Опубликовано
Опубликовано

вообще то я так и делал

Вообще-то нет.

Вы подключились к серверу через RDP (Удаленный доступ) и там запустили Автологер.

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

А нужно это же проделать, только на самом сервере, без терминального подключения.

И не из безопасного, а из нормального режима нужны логи.

andrey20021964

andrey20021964

Опубликовано
  • Автор
Опубликовано

Нет. я делал все на самом сервере. я пользуюсь удаленным рабочим столом, но не в этот раз. хорошо завтра попробую еще раз

andrey20021964

andrey20021964

Опубликовано
  • Автор
Опубликовано

dr web cureit нашел сам вирус vera.exe. Он вам не нужен?


я хотел сказать зараженный объект, конечно. Вирус Trojan.Encoder.3953v4+


шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

CollectionLog-2019.01.10-11.34.zip

Sandor

Sandor

Опубликовано
Опубликовано

Он вам не нужен?

Нет.

Проверку cureit делали до сбора логов или после?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\vera.exe', '');
 QuarantineFile('C:\Windows\reg\REBE1l.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\vera.exe', '64');
 DeleteFile('C:\Windows\reg\REBE1l.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^vera.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^vera.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vera.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

andrey20021964

andrey20021964

Опубликовано
  • Автор
Опубликовано

 

согласно порядку оформления запроса о помощи до сбора логов

 

Sandor

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - MSConfig\startupreg: Desktop Lock Express [command] = C:\Users\Администратор\Desktop\TicTac.exe /B (HKCU) (2019/01/09) (file missing)
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\reg\REBE1l.exe (file missing)
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...