Перейти к содержанию
andrey20021964

шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

Рекомендуемые сообщения

зашифрован сервер полностью, стоял 360 total security, остальные компьютеры в сети не пострадали

CollectionLog-2019.01.09-17.35.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Автологер ведь предупредил, что:

Логи сделаны в терминальной сессии, сделайте их из консоли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я прошу прощения, мне раньше не приходилось этого делать. на самом сервер все администрирование зашифровано. Как это сделать при помощи автологера?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

При помощи Автологера вам нужно собрать отчет CollectionLog, только запускать Автологер нужно не из терминальной сессии, а непосредственно на самом сервере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вообще то я так и делал

Вообще-то нет.

Вы подключились к серверу через RDP (Удаленный доступ) и там запустили Автологер.

 

AVZ запущен из терминальной сессии (RDP-Tcp#0)

А нужно это же проделать, только на самом сервере, без терминального подключения.

И не из безопасного, а из нормального режима нужны логи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нет. я делал все на самом сервере. я пользуюсь удаленным рабочим столом, но не в этот раз. хорошо завтра попробую еще раз

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

dr web cureit нашел сам вирус vera.exe. Он вам не нужен?


я хотел сказать зараженный объект, конечно. Вирус Trojan.Encoder.3953v4+


шифровальщик id-7891F13C.[veracrypt@foxmail.com].adobe

CollectionLog-2019.01.10-11.34.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Он вам не нужен?

Нет.

Проверку cureit делали до сбора логов или после?

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\vera.exe', '');
 QuarantineFile('C:\Windows\reg\REBE1l.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vera.exe', '64');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\vera.exe', '64');
 DeleteFile('C:\Windows\reg\REBE1l.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\Администратор\AppData\Roaming\Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^vera.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^vera.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vera.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - MSConfig\startupreg: Desktop Lock Express [command] = C:\Users\Администратор\Desktop\TicTac.exe /B (HKCU) (2019/01/09) (file missing)
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\reg\REBE1l.exe (file missing)
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.