gera_nn 0 Опубликовано 29 июня, 2019 Share Опубликовано 29 июня, 2019 (изменено) Добрый день! Пока был в отпуске шифровальщик зашифровал файлы, на одном сервере (забыли убрать проброс потов RDP) теперь большинство с расширением .doubleoffset включаю базы данных. Очень нуждаюсь в помощи. Прикрепляю оригинальный файл и после шифровальщика. ColorPicker.zip Изменено 29 июня, 2019 пользователем gera_nn Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 29 июня, 2019 Share Опубликовано 29 июня, 2019 Здравствуйте. Порядок оформления запроса о помощи. Логи прикрепите к следующему сообщению в данной теме. Ссылка на сообщение Поделиться на другие сайты
gera_nn 0 Опубликовано 29 июня, 2019 Автор Share Опубликовано 29 июня, 2019 Здравствуйте. Порядок оформления запроса о помощи. Логи прикрепите к следующему сообщению в данной теме. Логи CollectionLog-2019.06.29-12.21.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 29 июня, 2019 Share Опубликовано 29 июня, 2019 Содержимое папки (там скрытые исполняемые файлы от 2018 года) C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses Вам известно? Ссылка на сообщение Поделиться на другие сайты
gera_nn 0 Опубликовано 29 июня, 2019 Автор Share Опубликовано 29 июня, 2019 Содержимое папки (там скрытые исполняемые файлы от 2018 года) C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses Вам известно? нет Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 29 июня, 2019 Share Опубликовано 29 июня, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\envtools.exe',''); TerminateProcessByName('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\dumpnet.exe'); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\dumpnet.exe',''); TerminateProcessByName('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\conhost.exe'); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\conhost.exe',''); QuarantineFileF('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses', '*.exe', false,'', 0, 0, '', ''); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\conhost.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\dumpnet.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemDiagnostics','x32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\envtools.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemDiagnostics','x64'); DeleteSchedulerTask('SystemDiagnostics'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
gera_nn 0 Опубликовано 29 июня, 2019 Автор Share Опубликовано 29 июня, 2019 Выполните скрипт в AVZ из папки Autologger begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\envtools.exe',''); TerminateProcessByName('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\dumpnet.exe'); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\dumpnet.exe',''); TerminateProcessByName('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\conhost.exe'); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\conhost.exe',''); QuarantineFileF('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses', '*.exe', false,'', 0, 0, '', ''); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\conhost.exe','32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\dumpnet.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemDiagnostics','x32'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Licenses\envtools.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemDiagnostics','x64'); DeleteSchedulerTask('SystemDiagnostics'); BC_ImportAll; ExecuteSysClean; BC_Activate; end. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. CollectionLog-2019.06.29-13.57.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 29 июня, 2019 Share Опубликовано 29 июня, 2019 Не нужно полностью цитировать выдаваемые Вам рекомендации. Для написания ответа достаточно области внизу под последним сообщением в теме. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
gera_nn 0 Опубликовано 29 июня, 2019 Автор Share Опубликовано 29 июня, 2019 Логи Farbar Recovery Scan Tool FRST.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 29 июня, 2019 Share Опубликовано 29 июня, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-1948629690-2633154945-2021372762-500\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\Downloads\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\Documents\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\Desktop\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\AppData\Roaming\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\AppData\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\AppData\LocalLow\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Беленков Алексей\AppData\Local\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Администратор\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Администратор\Downloads\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\Users\README.txt 2019-06-23 01:37 - 2019-06-23 01:37 - 000000061 _____ C:\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Администратор\Documents\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Администратор\Desktop\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Администратор\AppData\Roaming\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Администратор\AppData\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Администратор\AppData\LocalLow\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Администратор\AppData\Local\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\Downloads\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\Documents\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\Desktop\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\AppData\Roaming\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\AppData\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\AppData\LocalLow\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\support\AppData\Local\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Public\README.txt 2019-06-23 01:36 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Public\Downloads\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\Downloads\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\Documents\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\Desktop\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\AppData\Roaming\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\AppData\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\AppData\LocalLow\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\gera\AppData\Local\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default\Downloads\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default\Documents\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default\Desktop\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default\AppData\Roaming\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default\AppData\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default\AppData\Local\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default User\Downloads\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default User\Documents\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default User\Desktop\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default User\AppData\Roaming\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default User\AppData\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Default User\AppData\Local\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Andrey\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Andrey\Downloads\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Andrey\Documents\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Andrey\Desktop\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Andrey\AppData\Roaming\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Andrey\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Andrey\AppData\README.txt 2019-06-23 01:34 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Andrey\AppData\LocalLow\README.txt 2019-06-23 01:33 - 2019-06-23 01:37 - 000001259 _____ C:\Users\Все пользователи\README.txt 2019-06-23 01:33 - 2019-06-23 01:37 - 000001259 _____ C:\ProgramData\README.txt 2019-06-23 01:33 - 2019-06-23 01:33 - 000000061 _____ C:\Users\Andrey\AppData\Local\README.txt 2019-06-23 01:30 - 2019-06-23 01:36 - 000001259 _____ C:\Users\Public\Documents\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 01:30 - 2019-06-23 01:36 - 000000061 _____ C:\Users\Public\Documents\README.txt 2019-06-23 01:30 - 2019-06-23 01:34 - 000001259 _____ C:\Users\Public\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 01:30 - 2019-06-23 01:34 - 000000061 _____ C:\Users\Public\Desktop\README.txt 2019-06-23 01:30 - 2019-06-23 01:33 - 000001259 _____ C:\Users\Все пользователи\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 01:30 - 2019-06-23 01:33 - 000001259 _____ C:\ProgramData\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 01:30 - 2019-06-23 01:30 - 000000061 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt 2019-06-23 01:30 - 2019-06-23 01:30 - 000000061 _____ C:\Program Files (x86)\README.txt 2019-06-23 01:26 - 2019-06-23 01:36 - 000001259 _____ C:\Users\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset 2019-06-23 01:26 - 2019-06-23 01:26 - 000000061 _____ C:\Program Files\README.txt 2019-06-23 01:26 - 2019-06-23 01:26 - 000000061 _____ C:\Program Files\Common Files\README.txt 2019-06-23 01:24 - 2019-06-22 16:41 - 000471552 _____ C:\Users\Администратор\Desktop\manual.exe 2019-06-23 01:23 - 2019-06-23 01:36 - 000000000 ____D C:\Users\Администратор\Desktop\taskmgr 2019-06-23 01:23 - 2019-06-23 01:36 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\Process Hacker 2 2019-06-23 01:22 - 2019-06-23 01:36 - 008801001 _____ C:\Users\Администратор\Desktop\email-3nity@tuta.io.ver-CL 1.5.1.0.id-.fname-ipscan24.exe.doubleoffset Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта. Ссылка на сообщение Поделиться на другие сайты
gera_nn 0 Опубликовано 29 июня, 2019 Автор Share Опубликовано 29 июня, 2019 Fixlog Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 29 июня, 2019 Share Опубликовано 29 июня, 2019 Проверьте ЛС. 1 Ссылка на сообщение Поделиться на другие сайты
gera_nn 0 Опубликовано 29 июня, 2019 Автор Share Опубликовано 29 июня, 2019 Огромнейшее, человеческое спасибо! Все работает! Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 29 июня, 2019 Share Опубликовано 29 июня, 2019 Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
gera_nn 0 Опубликовано 29 июня, 2019 Автор Share Опубликовано 29 июня, 2019 выдает ошибку "Версия вашей ОС (WIN_2008R2 x64) не поддерживается программой Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения