Зашифровал файлы в расшаренной папке на сервере. Логи прилагаю.
[URL="https://yadi.sk/d/g1JWGYKRmZ2GJ"]https://yadi.sk/d/g1JWGYKRmZ2GJ[/URL] - примеры зашифрованных файлов
Printable View
Зашифровал файлы в расшаренной папке на сервере. Логи прилагаю.
[URL="https://yadi.sk/d/g1JWGYKRmZ2GJ"]https://yadi.sk/d/g1JWGYKRmZ2GJ[/URL] - примеры зашифрованных файлов
Уважаемый(ая) [B]vganin[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
добавил логи Farbar
Логи нужны с компьютера, ставшего источником шифрования
Нашёл источник заражения. Прилагаю логи
И этот компьютер никак не похож на первоисточник
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-639111-601984244-2035103677-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.search.ask.com/?tpid=ORJ-SPE&o=APN11406&pf=V7&trgb=IE&p2=%5EBBE%5EOSJ000%5EYY%5ERU&gct=hp&apn_ptnrs=BBE&apn_dtid=%5EOSJ000%5EYY%5ERU&apn_dbr=Opera.exe_0_12.17.1863.0&apn_uid=92FAA88A-2CCC-4BC9-82E1-3C7F80010FEA&itbv=12.18.0.82&doi=2014-10-24&psv=&pt=tb
SearchScopes: HKU\S-1-5-21-2158918041-901366300-1387024654-1113 -> {4F931B7D-E797-4C72-A95C-BFAB8DE0D219} URL = hxxp://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^RU&gct=&itbv=12.18.0.82&apn_uid=92FAA88A-2CCC-4BC9-82E1-3C7F80010FEA&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^RU&apn_dbr=Opera.exe_0_12.17.1863.0&doi=2014-10-24&trgb=IE&q={searchTerms}&psv=&pt=tb
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Прилагаю fixlog. Все ПК проверили, энкодер только на этом обнаружен
И никаких признаков этого в логах :)
Если, конечно, нашкодивший из Вашей организации (тот, кто его запустил) не постарался в зачистке следов.
С расшифровкой не поможем
[ATTACH=CONFIG]609386[/ATTACH] картинка с этого ПК.
А как их можно зачистить?
Все детекты на скриншоте никак не связаны с шифровальщиком
Trojan.encoder.567 разве не оно?
А как тогда должно определяться?
Хм, действительно оно. Не заметил
Мусор Вам зачистили. Про невозможность расшифровки написано выше