Вирус зашифровал файлы на windows 2008 server

19 февраля, 2019

Здравствуйте.

Вирус зашифровал файлы, в частности файлы 1С и sql базы данных.

Формат имен сейчас такой - 1Cv8.1CD.id-5605D527.[bfiles2@cock.li].ETH

Сборщик логов запустил, файл прикладываю.

Спасибо.

Файл с логами

CollectionLog-2019.02.19-16.39.zip

19 февраля, 2019

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\payload.exe','');
 QuarantineFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe','');
 TerminateProcessByName('c:\users\Сергей\downloads\payload.exe');
 QuarantineFile('c:\users\Сергей\downloads\payload.exe','');
 DeleteFile('c:\users\Сергей\downloads\payload.exe','32');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe','64');
 DeleteFile('C:\Windows\System32\payload.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','payload.exe','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Сергей\AppData\Roaming\Info.hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

19 февраля, 2019

Ответ от VirusInfo

Результат загрузки Файл сохранён как 190219_161622_quarantine_5c6c2bd647b84.zip Размер файла 216078 MD5 2614158fc15a3d5553bdedff8dc9a43d Файл закачан, спасибо!

Новый файл сканирования прикладываю.

CollectionLog-2019.02.19-19.22.zip

19 февраля, 2019

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

19 февраля, 2019

Архив с двумя файлами

Scan.7z

19 февраля, 2019

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [payload.exe] => C:\Windows\System32\payload.exe [94720 2019-02-19] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-02-19] ()
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe [2019-02-19] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe [2019-02-19] ()
2019-02-19 19:14 - 2019-02-19 19:14 - 000094720 _____ C:\Windows\system32\payload.exe
2019-02-19 14:36 - 2019-02-19 14:36 - 000013915 _____ C:\Windows\system32\Info.hta
2019-02-19 14:36 - 2019-02-19 14:36 - 000013915 _____ C:\Users\Сергей\AppData\Roaming\Info.hta
2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\Users\Сергей\Desktop\FILES ENCRYPTED.txt
2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\FILES ENCRYPTED.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.

19 февраля, 2019

файл

Fixlog.txt

19 февраля, 2019

Мусор почистили. С расшифровкой помочь не сможем.

19 февраля, 2019

Жаль. (( Все равно спасибо большое за помощь.

Вирус зашифровал файлы на windows 2008 server

Рекомендуемые сообщения

msk.dmit

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

msk.dmit

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

msk.dmit

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

msk.dmit

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

msk.dmit

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum