Maxim Shadrin 0 Опубликовано 21 июня, 2019 Share Опубликовано 21 июня, 2019 Добрый день! Через RDP зашифровали файлы на сервере win2008 r2 Прикрепил лог CollectionLog-2019.06.21-14.20.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 21 июня, 2019 Share Опубликовано 21 июня, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\1EndGame.exe',''); QuarantineFile('C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe',''); DeleteService('wscsvs'); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64'); DeleteFile('C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe','64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\Windows\System32\1EndGame.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1EndGame.exe','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64'); DeleteFile('C:\Windows\System32\Info.hta','64'); DeleteFile('C:\Users\Vasilii\AppData\Roaming\Info.hta','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Vasilii\AppData\Roaming\Info.hta','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
Maxim Shadrin 0 Опубликовано 21 июня, 2019 Автор Share Опубликовано 21 июня, 2019 (изменено) Выполнил ПК нужно перезагрузить? Результат загрузки Файл сохранён как 190621_062343_quarantine_5d0c77efd4313.zip Размер файла 663937 MD5 d10132bef8f55a2ecf8df3fa1d2c23ba Файл закачан, спасибо! CollectionLog-2019.06.21-15.42.zip Изменено 21 июня, 2019 пользователем Maxim Shadrin Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 21 июня, 2019 Share Опубликовано 21 июня, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Maxim Shadrin 0 Опубликовано 21 июня, 2019 Автор Share Опубликовано 21 июня, 2019 Прикрепил FRST.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 21 июня, 2019 Share Опубликовано 21 июня, 2019 Пока пароль от RDP не смените на более сложный, будете постоянно зашифровываться. Расшифровки не будет. Только зачистка мусора в системе. 1. Выделите следующий код: Start:: CreateRestorePoint: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe [2019-06-21] (ThunderSoft) [File not signed] Startup: C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-21] () [File not signed] 2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\Users\Vasilii\Desktop\FILES ENCRYPTED.txt 2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\FILES ENCRYPTED.txt U5 7C2B28A; <==== ATTENTION: Locked Service End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужо выполнить вручную после скрипта. Ссылка на сообщение Поделиться на другие сайты
Maxim Shadrin 0 Опубликовано 26 июня, 2019 Автор Share Опубликовано 26 июня, 2019 Злоумышленникам отправили зараженный файл после чего они выслали в расшифрованном виде, этот файл никак не может помочь в расшифровке файлов? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 412 Опубликовано 26 июня, 2019 Share Опубликовано 26 июня, 2019 Не поможет. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти