Зашифровали все файлы (1 С, rar, exl, doc и т.д.). Можете мне помочь платно?
Вложение...
Зашифровали все файлы (1 С, rar, exl, doc и т.д.). Можете мне помочь платно?
Вложение...
Уважаемый(ая) [B]sasha141[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Прислал запрошенный карантин Autologger
Нам нужны логи Autologger
примеры (ориг. doc + зашифр. doc )
У Вас проблемы с чтением?
[quote="Никита Соловьев;898921"]Имя файла, который требуется прикрепить имеет вид CollectionLog-yyyy.mm.dd-hh.mm.zip
где yyyy.mm.dd-hh — дата и время сканирования.[/quote]
Прошу прощения, высылаю
Файлы зашифровались только на сервере?
Выполните скрипт в AVZ
[code]begin
TerminateProcessByName('c:\program files\safesurf\csrss.exe');
QuarantineFile('c:\program files\safesurf\csrss.exe','');
DeleteFile('c:\program files\safesurf\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Csrss');
ExecuteSysClean;
end.[/code]Перезагрузку компьютера выполните вручную.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
По красной ссылке Прислать запрошенный карантин над первым сообщением темы - прислал.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
прикрепляю к сообщению НОВЫЕ логи Autologger, сделанные после выполнения скрипта.
Проигнорировали[quote="thyrex;1429205"]Файлы зашифровались только на сервере?[/quote]
да, только на сервере. на всех локальных дисках+подключенном внешнем жестком диске
Тогда нужно смотреть логи сервера на предмет постороннего входа по RDP.
+ Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Скан FRST
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
вижу 20.01.2017 был вход через user8. т.к. 20.01.2017 не работал никто.
Вход был в какое время? 20 января -это пятница была. Точно никто не работал? :) Смотрите, что запускалось (и вообще какие действия проходили под этим пользователем) под этим пользователем.
100 % никто не работал. У нас выходной в пятницу. В понедельник только все узнали.
По файлу frst.txt я смотрю, что 11:54 был вход, если не ошибаюсь. и дальше уже создавались какие-то файлы, типа C:\122FC292.key, C:\Setup.exe и т.д.
[QUOTE]C:\Setup.exe
C:\msizap.exe
C:\122FC292.key[/QUOTE]заархивируйте с паролем virus, выложите на обменник без капчи и времени ожидания и пришлите ссылку на скачивание
Пароль от RDP меняйте
Все сделал: [url]https://yadi.sk/d/HQWuPAZS3AjkvS[/url]
exe-файлы тоже зашифрованы.
Увы, нужно искать сам файл, вызвавший шифрование
Как можно помочь мне в данной ситуации?
Не бросайте в беде пожалуйста.
Было бы тело шифратора, тогда можно было бы о чем-то думать. Тем более для предыдущей версии этого шифратора расшифровка у нас была
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Посмотрите пожалуйста, вроде он. Заархивировал.
[Скачал, удалил]
Да, это он. Ожидайте, возможно, ближе к полуночи по Москве решение уже будет.
А пока вопрос: в каком месте обнаружили и есть ли еще что-нибудь по тому пути?
Вот здесь С:\intel, там только был "оно" и папка Logs и в ней файл текстовый- IntelChipset.log
В той же папке нужно искать файл xyz.txt
Ключ был в этом файле
Но его там нет
возможно файл был удален
и понадобятся программы восстановления данных типа R-Studio
Использовал R-Studio, не нашел.
Проверил: Я взял на другом компьютере создал папку и в ней создал .txt файл и все это удалил. Запустил R-Studio, а он этот удаленный файл и папку не нашел вообще.
Я уже не знаю что и делать. Какими средствами искать этот файл
Пробуйте другие утилиты подобной специфики
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\safesurf\csrss.exe - [B]Trojan.Win32.Agent.neyudu[/B][/LIST][/LIST]