Показано с 1 по 18 из 18.

Вирус helppppppp@meta.ua (заявка № 212236)

  1. #1
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1

    Вирус helppppppp@meta.ua

    Добрый день. Сегодня неожиданно обнаружили шифровальщика. Все файлы с расширением - helppppppp@meta.ua
    Нашли файл к текстом "Для расшифровки пишите: helppppppp@meta.ua Укажите ПИН: 65"

    Спасите нас пожалуйста, у нас там данные Благотворительного фонда - www.bfbd.ru
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,332
    Вес репутации
    335
    Уважаемый(ая) Director@ck66.ru, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1
    вирус - trojan.downloader.10.20280

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,832
    Вес репутации
    2979
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1
    Направляю
    Вложения Вложения

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,832
    Вес репутации
    2979
    Логи сервера на предмет постороннего входа по RDP вчера вечером уже изучили?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1
    Была взломана учетка. Я не системный администратор. Ему вставили сегодня и он ушел с работы. Если подскажите как сделать - то я Вам дам информацию.

    - - - - -Добавлено - - - - -

    Можем для образца предоставить начальный файл и зашифрованный

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    93,832
    Вес репутации
    2979
    Боюсь, что без тела шифратора что-то определенное сказать трудно.

    По поводу просмотра логов сервера попросил коллег посмотреть. Но это будет часа через 2-3
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1
    мы ждем. Спасибо

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,092
    Вес репутации
    807
    Выполните скрипт в AVZ:
    Код:
    begin
     ExecuteFile('schtasks.exe', '/delete /TN "C:\Windows\system32\Tasks\DSite" /F', 0, 15000, true);
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('c:\Program Files (x86)\7-Zip\7z.exe', ' a -t7z -mx9 -m0=ppmd:o=32:mem=768m events.7z *.evtx', 0, 200000, false);
    end.
    В папке с AVZ появится архив Events.7z, загрузите его на доступное облачное хранилище или файлообменник и дайте ссылку в теме.
    WBR,
    Vadim

  12. Это понравилось:


  13. #11
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1
    архив не создается, происходит автоматическое завершение работы

    - - - - -Добавлено - - - - -

    https://yadi.sk/d/LBaMeMHO3JM3pz

    изменения только в этой папке происходит

  14. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,092
    Вес репутации
    807
    Странно. А файлы system.evtx, Security.evtx, Application.evtx не создались в папке с AVZ? Покажите скрин с логом выполнения скрипта в AVZ.
    И вообще, скрипт из сообщения #10 точно выполняли?
    Последний раз редактировалось Vvvyg; 21.05.2017 в 15:27.
    WBR,
    Vadim

  15. #13
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1
    Делали, как указано по ссылке. Однако по завершению работы - осуществляется выключение работы ПК

  16. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,092
    Вес репутации
    807
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  17. #15
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1
    направляю
    Вложения Вложения

  18. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,092
    Вес репутации
    807
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.0.4 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    delref %SystemDrive%\USERS\OPERAT~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
    Exec wevtutil.exe epl System system.evtx
    Exec wevtutil.exe epl Application Application.evtx
    Exec wevtutil.exe epl Security Security.evtx
    Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    В папке с UVS появится архив Events.7z, загрузите его в облако и дайте ссылку в теме.
    WBR,
    Vadim

  19. #17
    Junior Member Репутация
    Регистрация
    19.05.2017
    Сообщений
    10
    Вес репутации
    1
    https://yadi.sk/d/2RUln0RL3JRad8
    Вложения Вложения

  20. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,092
    Вес репутации
    807
    Имя журнала: System
    Источник: Microsoft-Windows-Eventlog
    Дата: 18.05.2017 17:28:19
    Код события: 104
    Категория задачи:Очистка журнала
    Уровень: Сведения
    Ключевые слова:
    Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
    Компьютер: ServerSK
    Описание:
    Файл журнала Application очищен.

    Имя журнала: System
    Источник: Microsoft-Windows-Eventlog
    Дата: 18.05.2017 17:28:19
    Код события: 104
    Категория задачи:Очистка журнала
    Уровень: Сведения
    Ключевые слова:
    Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
    Компьютер: ServerSK
    Описание:
    Файл журнала Doctor Web очищен.


    Имя журнала: System
    Источник: Microsoft-Windows-Eventlog
    Дата: 18.05.2017 17:28:19
    Код события: 104
    Категория задачи:Очистка журнала
    Уровень: Сведения
    Ключевые слова:
    Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
    Компьютер: ServerSK
    Описание:
    Файл журнала Application очищен.

    Имя журнала: System
    Источник: Microsoft-Windows-Eventlog
    Дата: 18.05.2017 17:28:19
    Код события: 104
    Категория задачи:Очистка журнала
    Уровень: Сведения
    Ключевые слова:
    Пользователь: S-1-5-21-3641005295-2953410684-2121095726-1023
    Компьютер: ServerSK
    Описание:
    Файл журнала System очищен.
    Полагаю, непосредственно перед этим злоумышленник проник в систему и зашифровал данные, а затем подчистил следы.
    Попытки входа через терминальный доступ фиксируются в журнале безопасности каждые несколько секунд, новый взлом - лишь дело времени.
    В общем - ищите нормального сисадмина, если коротко, всё печально...
    WBR,
    Vadim

Присоединяйтесь к нам в соцсетях!

Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

Похожие темы

  1. Шифровальщик hellomyfriend@meta.ua
    От lflow в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 03.05.2017, 13:41
  2. Шифровальщик morf56@meta.ua
    От A17 в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 17.12.2016, 12:31
  3. Шифровальщик с расширением _morf56@meta.ua_
    От thyrex в разделе Шифровальщики
    Ответов: 0
    Последнее сообщение: 08.12.2016, 23:13
  4. Helppppppp meeee!!! Please!!!!
    От EaRLL в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 29.10.2008, 10:23

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00786 seconds with 19 queries