msk.dmit 0 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 Здравствуйте. Вирус зашифровал файлы, в частности файлы 1С и sql базы данных. Формат имен сейчас такой - 1Cv8.1CD.id-5605D527.[bfiles2@cock.li].ETH Сборщик логов запустил, файл прикладываю. Спасибо. Файл с логами CollectionLog-2019.02.19-16.39.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\payload.exe',''); QuarantineFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe',''); TerminateProcessByName('c:\users\Сергей\downloads\payload.exe'); QuarantineFile('c:\users\Сергей\downloads\payload.exe',''); DeleteFile('c:\users\Сергей\downloads\payload.exe','32'); DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe','64'); DeleteFile('C:\Windows\System32\payload.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','payload.exe','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Сергей\AppData\Roaming\Info.hta','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
msk.dmit 0 Опубликовано 19 февраля, 2019 Автор Share Опубликовано 19 февраля, 2019 Ответ от VirusInfo Результат загрузки Файл сохранён как 190219_161622_quarantine_5c6c2bd647b84.zip Размер файла 216078 MD5 2614158fc15a3d5553bdedff8dc9a43d Файл закачан, спасибо!Новый файл сканирования прикладываю. CollectionLog-2019.02.19-19.22.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
msk.dmit 0 Опубликовано 19 февраля, 2019 Автор Share Опубликовано 19 февраля, 2019 Архив с двумя файлами Scan.7z Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [payload.exe] => C:\Windows\System32\payload.exe [94720 2019-02-19] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-02-19] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe [2019-02-19] () Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe [2019-02-19] () 2019-02-19 19:14 - 2019-02-19 19:14 - 000094720 _____ C:\Windows\system32\payload.exe 2019-02-19 14:36 - 2019-02-19 14:36 - 000013915 _____ C:\Windows\system32\Info.hta 2019-02-19 14:36 - 2019-02-19 14:36 - 000013915 _____ C:\Users\Сергей\AppData\Roaming\Info.hta 2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\Users\Сергей\Desktop\FILES ENCRYPTED.txt 2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\FILES ENCRYPTED.txt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта. Цитата Ссылка на сообщение Поделиться на другие сайты
msk.dmit 0 Опубликовано 19 февраля, 2019 Автор Share Опубликовано 19 февраля, 2019 файл Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 Мусор почистили. С расшифровкой помочь не сможем. Цитата Ссылка на сообщение Поделиться на другие сайты
msk.dmit 0 Опубликовано 19 февраля, 2019 Автор Share Опубликовано 19 февраля, 2019 Жаль. (( Все равно спасибо большое за помощь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.