Maxim Shadrin 0 Опубликовано 21 июня, 2019 Share Опубликовано 21 июня, 2019 Добрый день! Через RDP зашифровали файлы на сервере win2008 r2 Прикрепил лог CollectionLog-2019.06.21-14.20.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 21 июня, 2019 Share Опубликовано 21 июня, 2019 Здравствуйте. Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\1EndGame.exe',''); QuarantineFile('C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe',''); DeleteService('wscsvs'); DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64'); DeleteFile('C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe','64'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64'); DeleteFile('C:\Windows\System32\1EndGame.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1EndGame.exe','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64'); DeleteFile('C:\Windows\System32\Info.hta','64'); DeleteFile('C:\Users\Vasilii\AppData\Roaming\Info.hta','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Vasilii\AppData\Roaming\Info.hta','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Maxim Shadrin 0 Опубликовано 21 июня, 2019 Автор Share Опубликовано 21 июня, 2019 (изменено) Выполнил ПК нужно перезагрузить? Результат загрузки Файл сохранён как 190621_062343_quarantine_5d0c77efd4313.zip Размер файла 663937 MD5 d10132bef8f55a2ecf8df3fa1d2c23ba Файл закачан, спасибо! CollectionLog-2019.06.21-15.42.zip Изменено 21 июня, 2019 пользователем Maxim Shadrin Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 21 июня, 2019 Share Опубликовано 21 июня, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Maxim Shadrin 0 Опубликовано 21 июня, 2019 Автор Share Опубликовано 21 июня, 2019 Прикрепил FRST.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 21 июня, 2019 Share Опубликовано 21 июня, 2019 Пока пароль от RDP не смените на более сложный, будете постоянно зашифровываться. Расшифровки не будет. Только зачистка мусора в системе. 1. Выделите следующий код: Start:: CreateRestorePoint: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe [2019-06-21] (ThunderSoft) [File not signed] Startup: C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-21] () [File not signed] 2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\Users\Vasilii\Desktop\FILES ENCRYPTED.txt 2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\FILES ENCRYPTED.txt U5 7C2B28A; <==== ATTENTION: Locked Service End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужо выполнить вручную после скрипта. Цитата Ссылка на сообщение Поделиться на другие сайты
Maxim Shadrin 0 Опубликовано 26 июня, 2019 Автор Share Опубликовано 26 июня, 2019 Злоумышленникам отправили зараженный файл после чего они выслали в расшифрованном виде, этот файл никак не может помочь в расшифровке файлов? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 26 июня, 2019 Share Опубликовано 26 июня, 2019 Не поможет. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.