msk.dmit 0 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 Здравствуйте. Вирус зашифровал файлы, в частности файлы 1С и sql базы данных. Формат имен сейчас такой - 1Cv8.1CD.id-5605D527.[bfiles2@cock.li].ETH Сборщик логов запустил, файл прикладываю. Спасибо. Файл с логами CollectionLog-2019.02.19-16.39.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\payload.exe',''); QuarantineFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe',''); TerminateProcessByName('c:\users\Сергей\downloads\payload.exe'); QuarantineFile('c:\users\Сергей\downloads\payload.exe',''); DeleteFile('c:\users\Сергей\downloads\payload.exe','32'); DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\Users\Сергей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe','64'); DeleteFile('C:\Windows\System32\payload.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','payload.exe','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Сергей\AppData\Roaming\Info.hta','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
msk.dmit 0 Опубликовано 19 февраля, 2019 Автор Share Опубликовано 19 февраля, 2019 Ответ от VirusInfo Результат загрузки Файл сохранён как 190219_161622_quarantine_5c6c2bd647b84.zip Размер файла 216078 MD5 2614158fc15a3d5553bdedff8dc9a43d Файл закачан, спасибо!Новый файл сканирования прикладываю. CollectionLog-2019.02.19-19.22.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
msk.dmit 0 Опубликовано 19 февраля, 2019 Автор Share Опубликовано 19 февраля, 2019 Архив с двумя файлами Scan.7z Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [payload.exe] => C:\Windows\System32\payload.exe [94720 2019-02-19] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-02-19] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe [2019-02-19] () Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe [2019-02-19] () 2019-02-19 19:14 - 2019-02-19 19:14 - 000094720 _____ C:\Windows\system32\payload.exe 2019-02-19 14:36 - 2019-02-19 14:36 - 000013915 _____ C:\Windows\system32\Info.hta 2019-02-19 14:36 - 2019-02-19 14:36 - 000013915 _____ C:\Users\Сергей\AppData\Roaming\Info.hta 2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\Users\Сергей\Desktop\FILES ENCRYPTED.txt 2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2019-02-19 14:36 - 2019-02-19 14:36 - 000000212 _____ C:\FILES ENCRYPTED.txt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\payload.exe Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта. Ссылка на сообщение Поделиться на другие сайты
msk.dmit 0 Опубликовано 19 февраля, 2019 Автор Share Опубликовано 19 февраля, 2019 файл Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 19 февраля, 2019 Share Опубликовано 19 февраля, 2019 Мусор почистили. С расшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
msk.dmit 0 Опубликовано 19 февраля, 2019 Автор Share Опубликовано 19 февраля, 2019 Жаль. (( Все равно спасибо большое за помощь. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти