Sinful 0 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 Поймали шифровальщик. win server 12, никаких флешек, минимальный выход в интернет, для обновления антивируса и 1с. в итоге антивирус вырубился. и зачем мы только берем касперкий на 100+ ключей??? в общем и целом, 1с вроде восстановил, но что дальше будет, всеми возможными утилитами проверил. будет ли он распространятся или у него одноразовое действие. сносить ос или же можно оставить???? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 Здравствуйте! Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Sinful 0 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 (изменено) 1. Kaspersky Virus Removal Tool 2015; проверено Dr.Web CureIt!. проверено 2 прикрепил 3 зашифрованы файлы в основном относящиеся к 1с, так же был поврежден загрузочник ОС (восстановил стандартным восстановлением ОС), переустановил 1с в туже папку что и была, база работает, все открывается. отключил сервер от интернета. что дальше? можно ли вылечить? будет ли распространятся если включить сеть обратно? п.с. загрузочные файлы касперского пали еще вчера, сглупил и не обратил на это внимания. просто сделал восстановление и все. то есть вирус убил антивирус. п.п.с. затронут только диск С CollectionLog-2019.01.18-12.10.zip Изменено 18 января, 2019 пользователем Sinful Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 "Пофиксите" в HijackThis: O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\\Windows\\IME\\IMEB\\exp.bat Если файлC:\Windows\IME\IMEB\exp.batсуществует, упакуйте его в архив с паролем и пришлите мне в ЛС. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Sinful 0 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 (изменено) файлы, п.с. что ту у меня мозг похоже совсем отключился, не могу найти в лс прикрепление файлов, Addition.txt FRST.txt Изменено 18 января, 2019 пользователем Sinful Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: IFEO\sethc.exe: [Debugger] C:\\Windows\\IME\\IMEB\\exp.bat End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве. Если файл C:\Windows\IME\IMEB\exp.bat существуетВы ничего не ответили. Надо понимать, что файла нет? Цитата Ссылка на сообщение Поделиться на другие сайты
Sinful 0 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 существует, упакуйте его в архив с паролем и пришлите мне в ЛС. не могу найти в лс прикрепление файлов и еще, важна ли последовательность действий, сначало пофиксить, потом файл exp, потом фарбар.??? да файл exp.bat есть fixlog Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 Да, последовательность важна. Файл всё ещё жду. Цитата Ссылка на сообщение Поделиться на другие сайты
Sinful 0 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 (изменено) Да, последовательность важна. Файл всё ещё жду. exp до exp posle после выполнения действий exp.7z exp posle.7z Изменено 18 января, 2019 пользователем Sinful Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 Сделайте ещё раз контрольный CollectionLog Автологером. и зачем мы только берем касперкий на 100+ ключей???Злоумышленник имел физический доступ к серверу. Тот файл можете удалить. Цитата Ссылка на сообщение Поделиться на другие сайты
Sinful 0 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 Сделайте ещё раз контрольный CollectionLog Автологером. и зачем мы только берем касперкий на 100+ ключей???Злоумышленник имел физический доступ к серверу. Тот файл можете удалить. так, а вот это уже интересно, можно какие то подробности??? и как это исправить??? насчет 100 ключей, "извиняюсь", был на нервах. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 можно какие то подробности? http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/ как это исправить?Мы это уже проделали. Только жду контрольный CollectionLog Цитата Ссылка на сообщение Поделиться на другие сайты
Sinful 0 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 (изменено) а что с не читаемыми файлами с расширением crash??? и узнать когда именно был вход злоумышленника нельзя? CollectionLog-2019.01.18-14.21.zip Изменено 18 января, 2019 пользователем Sinful Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 18 января, 2019 Share Опубликовано 18 января, 2019 когда именно был вход злоумышленника2019-01-18 03:25 что с не читаемыми файлами с расширением crash?Пару таких документов вместе с запиской с требованием выкупа упакуйте в архив и прикрепите к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Sinful 0 Опубликовано 18 января, 2019 Автор Share Опубликовано 18 января, 2019 пароль тот же primer.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.