Показано с 1 по 18 из 18.

Зашифрованы файлы расширение BADMAD Сервер№1 [Trojan.Win32.Diztakun.asae, Trojan.BAT.Agent.bej, HEUR:Trojan-Ransom.W= in32.Generic] (заявка № 223543)

  1. #1
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    33

    Зашифрованы файлы расширение BADMAD Сервер№1 [Trojan.Win32.Diztakun.asae, Trojan.BAT.Agent.bej, HEUR:Trojan-Ransom.W= in32.Generic]

    При обнаружении шифровальщика, этот сервер ещё не был полностью зашифрован. Были предприняты действия - извлечен диск, который соединен по RAID, а после - завершена система. Большинство файлов зашифрована. Просьба помочь по восстановлению работоспособности сервера и удаления остатков шифровальщика.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) Dreiko, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Здравствуйте,

    Мы не можем обещать, что поможем вас с расшифровкой.

    HiJackThis (из каталога autologger)профиксить
    Важно: необходимо отметить и профиксить только то, что указано ниже.
    Код:
    O4 - User Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ccleaner.lnk    ->    C:\Users\administrator\svchost.exe
    O4-32 - HKLM\..\Run: [Chrom] = C:\Users\administrator\AppData\Roaming\svchost.exe
    O7 - TroubleShooting: (EV) HKU\S-1-5-21-2492286007-1918354192-1474688235-500\..\Environment: [TEMP] = (not exist)
    O7 - TroubleShooting: (EV) HKU\S-1-5-21-2492286007-1918354192-1474688235-500\..\Environment: [TMP] = (not exist)
    O7 - TroubleShooting: (EV) HKU\S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534\..\Environment: [TEMP] = (not exist)
    O7 - TroubleShooting: (EV) HKU\S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534\..\Environment: [TMP] = (not exist)
    O22 - Task: \Microsoft\Windows\EntityFramework2\NetLibrary - C:\ProgramData\Microsoft\DRM\Gfoci\lnterrupts.exe
    O22 - Task: \Microsoft\Windows\EntityFramework\NetLibrary - C:\ProgramData\Microsoft\DRM\Hjataxe\NetFramework.exe

    AVZ выполнить следующий скрипт.
    Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
    Код:
    begin
     StopService('spoolsrvrs');
     StopService('werlsfks');
     StopService('TrkWk');
     DeleteService('TrkWk');
     DeleteService('werlsfks');
     DeleteService('spoolsrvrs');
     TerminateProcessByName('c:\windows\fonts\web\winlogon.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe');
     TerminateProcessByName('c:\users\administrator\appdata\roaming\svchost.exe');
     TerminateProcessByName('c:\windows\fonts\web\taskhost.exe');
     TerminateProcessByName('c:\users\administrator\svchost.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe');
     TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Hjataxe\NetFramework.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe');
     TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Gfoci\lnterrupts.exe');
     TerminateProcessByName('C:\ProgramData\Microsoft\DRM\Hjataxe\Jkuye.exe');
     QuarantineFile('C:\Users\administrator\appdata\roaming\svchost.exe','');
     QuarantineFile('C:\Users\administrator\svchost.exe','');
     QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
     QuarantineFile('C:\Windows\Fonts\web\taskhost.exe','');
     QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
     QuarantineFile('c:\windows\fonts\web\winlogon.exe','');
     QuarantineFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','');
     QuarantineFile('c:\windows\fonts\web\taskhost.exe','');
     QuarantineFile('c:\users\administrator\appdata\roaming\svchost.exe','');
     QuarantineFile('c:\users\administrator\svchost.exe','');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','');
     QuarantineFile('C:\ProgramData\Microsoft\DRM\Hjataxe\NetFramework.exe','');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','');
     QuarantineFile('C:\ProgramData\Microsoft\DRM\Gfoci\lnterrupts.exe','');
     QuarantineFile('C:\ProgramData\Microsoft\DRM\Hjataxe\Jkuye.exe','');
     QuarantineFileF('c:\windows\inf\netlibrariestip', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
     DeleteFile('C:\ProgramData\Microsoft\DRM\Hjataxe\Jkuye.exe','32');
     DeleteFile('C:\ProgramData\Microsoft\DRM\Gfoci\lnterrupts.exe','32');
     DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\lsm.exe','32');
     DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe','32');
     DeleteFile('C:\ProgramData\Microsoft\DRM\Hjataxe\NetFramework.exe','32');
     DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\spoolsv.exe','32');
     DeleteFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\ssms.exe','32');
     DeleteFile('c:\users\administrator\svchost.exe','32');
     DeleteFile('c:\users\administrator\appdata\roaming\svchost.exe','32');
     DeleteFile('c:\windows\fonts\web\taskhost.exe','32');
     DeleteFile('c:\windows\inf\netlibrariestip\0009\v3.5.56385\1049\5.0\wahiver.exe','32');
     DeleteFile('c:\windows\fonts\web\winlogon.exe','32');
     DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','32');
     DeleteFile('C:\Windows\Fonts\web\taskhost.exe','32');
     DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\EntityFramework\NetLibrary','64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\EntityFramework2\NetLibrary','64');
     DeleteFile('C:\Users\administrator\svchost.exe','32');
     DeleteFile('C:\Users\administrator\appdata\roaming\svchost.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    end.
    После выполнения скрипта перезагрузите сервер вручную.

    После перезагрузки:
    - Выполните в AVZ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  5. #4
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    33
    Через программу hiJackThis не нашел те значения которые необходимо пофиксить. Приложил лог скана. Один из указанных элементов только пофиксил. SVhost который. Кстати, после это ошибка Freamwork перестала выскакивать

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    HiJackThis использовали из каталога автологера?

    Уточните пожалуйста, у Вас изначально был антивирус Dr.Web или вы его установили по появление проблемы?

    • Закройте и сохраните все открытые приложения.
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      Start::
      CreateRestorePoint:
      IFEO\sethc.exe: [Debugger] seth.exe
      Task: {3E8C9387-8C87-4AA3-8ACD-299164A88C25} - \Microsoft\Windows\EntityFramework2\NetLibrary -> No File <==== ATTENTION
      Task: {55D8DF54-FBF1-4969-B028-9313A5485510} - \Microsoft\Windows\EntityFramework\NetLibrary -> No File <==== ATTENTION
      URLSearchHook: [S-1-5-21-2492286007-1918354192-1474688235-500] ATTENTION => Default URLSearchHook is missing
      URLSearchHook: [S-1-5-80-1184457765-4068085190-3456807688-2200952327-3769537534] ATTENTION => Default URLSearchHook is missing
      "spoolsrvrs" => service was unlocked. <==== ATTENTION
      "UI0Detect" => service was unlocked. <==== ATTENTION
      "werlsfks" => service was unlocked. <==== ATTENTION
      S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
      S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\Администратор\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\user1c\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\user1c\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\user1c\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\user1c\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\surov\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\surov\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\surov\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\surov\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\SQLAgent$SQLSERVER\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\Public\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\Public\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\Public\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\MSSQL$SQLSERVER\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\MSSQL$MICROSOFT##WID\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:59 - 2019-09-05 05:59 - 000003319 _____ C:\Users\MsDtsServer110\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\lubutin\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\lubutin\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\lubutin\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\lubutin\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\bakup\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\bakup\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\bakup\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\bakup\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\Bahvalov\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\Bahvalov\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\Bahvalov\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\Bahvalov\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\asky2\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\asky2\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\asky2\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:57 - 2019-09-05 05:57 - 000003319 _____ C:\Users\asky2\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:56 - 2019-09-05 05:56 - 000003319 _____ C:\Users\asky\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:55 - 2019-09-05 05:55 - 000003319 _____ C:\Users\asky\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:54 - 2019-09-05 05:54 - 000003319 _____ C:\Users\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:54 - 2019-09-05 05:54 - 000003319 _____ C:\Users\asky\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:54 - 2019-09-05 05:54 - 000003319 _____ C:\Users\asky\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:54 - 2019-09-05 05:54 - 000003319 _____ C:\Users\administrator\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:54 - 2019-09-05 05:54 - 000003319 _____ C:\Users\administrator\Downloads\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:54 - 2019-09-05 05:54 - 000003319 _____ C:\Users\administrator\Documents\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:54 - 2019-09-05 05:54 - 000003319 _____ C:\Users\administrator\Desktop\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 05:37 - 2019-09-05 05:37 - 000003319 _____ C:\Program Files (x86)\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 01:25 - 2019-09-05 01:25 - 000003319 _____ C:\Program Files\Инструкция по расшифровке файлов BadMad.TXT
      2019-09-05 01:09 - 2019-09-05 01:09 - 000003319 _____ C:\Инструкция по расшифровке файлов BadMad.TXT
      Zip: C:\Users\administrator\AppData\Roaming\syst32.exe;C:\Users\administrator\AppData\Local\Temp\foto.exe;C:\Users\administrator\AppData\Local\Temp\seth.exe;C:\Users\administrator\AppData\Local\Temp\seth.bat;C:\Users\asky\AppData\Local\Temp\MEINSTALLER.dll;C:\Users\asky\AppData\Local\Temp\MESNIFF.dll
      2019-09-05 01:08 - 2019-09-05 01:03 - 000237056 _____ C:\Users\administrator\AppData\Roaming\syst32.exe
      Folder: C:\Users\administrator\AppData\Roaming\Process Hacker 2
      2019-08-08 05:42 - 2018-06-21 08:14 - 000336175 _____ C:\Users\administrator\AppData\Local\Temp\foto.exe
      File: C:\Windows\SysWOW64\seth.exe
      2019-08-08 05:38 - 2018-04-21 23:10 - 000041984 _____ C:\Users\administrator\AppData\Local\Temp\seth.exe
      2019-08-08 05:38 - 2015-09-14 09:05 - 000000604 _____ C:\Users\administrator\AppData\Local\Temp\seth.bat
      Folder: C:\Users\asky\AppData\Roaming\Monotype Imaging
      2019-09-05 01:08 - 2019-09-05 01:03 - 000237056 _____ () C:\Users\administrator\AppData\Roaming\syst32.exe
      AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [128]
      AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [128]
      FirewallRules: [{620286AC-AE08-44D0-B259-99D66067D50C}] => (Allow) C:\Program Files\DrWeb\dwservice.exe No File
      FirewallRules: [{6398ECE7-F13F-4504-836A-EDC7B24A1D79}] => (Allow) C:\Program Files\DrWeb\spideragent.exe No File
      FirewallRules: [{83E5DCF1-1571-4939-A745-DD4CBB1E05C1}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe No File
      FirewallRules: [{684402EC-E12E-4FF7-933C-3FB3131A1CD4}] => (Allow) C:\Program Files\DrWeb\dwservice.exe No File
      FirewallRules: [{9BC706C6-E7C2-4BF6-97F0-56CF033BBAAB}] => (Allow) C:\Program Files\DrWeb\spideragent.exe No File
      FirewallRules: [{99F32A5F-3E1A-481D-9D23-D5B665EE2001}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe No File
      FirewallRules: [{42BFC9DB-217C-48F7-8615-F5F76AAB405F}] => (Allow) %ProgramFiles% (x86)\Simple-Scada 2 (demo64)\Server.exe No File
      FirewallRules: [{99449C2D-F55C-4645-85D8-E9F555FA2D58}] => (Allow) C:\ProgramData\Microsoft\DRM\Hjataxe\NetFramework.exe No File
      End::
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  7. #6
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    33
    Да, HiJackThis брал с папки RSIT. В самой папке HiJackThis его не было. А разница есть?
    Доктор Веб стоит уже 2 года на этом сервере. Центр управления на 30 пользователей.
    Последний раз редактировалось Dreiko; 07.09.2019 в 16:44.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Цитата Сообщение от Dreiko Посмотреть сообщение
    Да, HiJackThis брал с папки RSIT. В самой папке HiJackThis его не было. А разница есть?
    Да, HJT из каталога автологгера более усовершенствованная.

    Касаемо лога FRST, пожалуйста перед тем как фиксить убедитесь, чтобы текст был сохранен с поддержкой Unicode, так как вместо кириллице (русских букв) имеем иероглифы. Пожалуйста сохраните указанный выше текст с поддержкой Unicode, если используете Notepad и профиксите еще раз.
    index.png

    P.S. Сообщите пожалуйста, вы пробовали обратиться в тех. поддержку касаемо возможности расшифровки данных? Или у Вас имеется резервные копии?
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  9. #8
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    33
    Хорошо. Сделаю. В тех. Поддержку обращался сразу. Сказали, что на данный момент дешифровка невозможна. Резервные копии есть, хоть и месяц, два старее - но всё же. 1с больше пострадала. Для бухгалтерии месяц восстанавливать в ужас приходят уже...
    Для меня сейчас самое главное наладить работоспособность серверов.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Спасибо за детали, уточните пожалуйста вы выполнили следующее?
    Цитата Сообщение от SQ Посмотреть сообщение
    Касаемо лога FRST, пожалуйста перед тем как фиксить убедитесь, чтобы текст был сохранен с поддержкой Unicode, так как вместо кириллице (русских букв) имеем иероглифы. Пожалуйста сохраните указанный выше текст с поддержкой Unicode, если используете Notepad и профиксите еще раз.
    index.png
    Если да то приложите пожалуйста лог fixlog.txt
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  11. #10
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    33
    Почти сутки нахожусь у сервера - но спать тоже нужно...

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  13. #12
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    33
    Куда прикреплять?
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Все правильно сделали, необходимо было прикрепить в сообщению

    - - - - -Добавлено - - - - -

    В логах больше незамечено более ничего плохого.

    Проверьте сервер на наличие повреждения системных файлов:
    Код:
    sfc /scannow
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  15. #14
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    33
    Спасибо! Я могу подключать к сети интернет? И подскажите, как я могу удалить зашифрованные файлы, которые не удаляются обычным способом и не переименовываются, пытаясь убрать длинное название

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Смените пароли и закройте доступ к RDP из интернета, после этого пробуйте подключиться к интернету.

    Видимо название превышает 255 символов. необходимо попробовать переместить в корень диска далее заархивировать в zip на тот случай, если появиться дешифровщик, чтобы можно было вернуть данные.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  17. #16
    Junior Member Репутация
    Регистрация
    08.04.2015
    Сообщений
    53
    Вес репутации
    33
    Он не был открыт по rdp с интернета. Взломали первый сервер с 1С, от него уже по локалке зашли по rdp на этот сервер...
    А как вообще узнать, что дешифратор появился?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SQ
    Регистрация
    18.05.2012
    Адрес
    Searching ...
    Сообщений
    12,843
    Вес репутации
    322
    Цитата Сообщение от Dreiko Посмотреть сообщение
    А как вообще узнать, что дешифратор появился?
    Обычно, если он появляется уведомляют пользователей которые приложили неколько файлов, что еть возможность расшифровки. Либо если вы увидете, что при схожем случае удалось помочь с расшифровкой другим пользователям.

    Также в вашем случае ваш антивирусный вендор, может вас уведомить о этом.

    P.S. остеригайтесь мошенников, они часто бывает пишут личные сообщения о том, что якобы могут помочь, как только получают свое исчезают также как появились.
    CCNA, CCNP, CCNA Security, CCDA, CCDP
    MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center

  19. Это понравилось:


  20. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 3
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 238
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. c:\programdata\microsoft\drm\gfoci\lnterrupts.exe - not-a-=
        virus:UDS:RiskTool.MSIL.FolderLocker.a
      2. c:\programdata\microsoft\drm\hjataxe\netframework. exe - HE=
        UR:Trojan.MSIL.Miner.gen
        ( AVAST4: Win64:Trojan-gen )
      3. c:\users\administrator\appdata\roaming\svchost.exe - Troja=
        n.Win32.Diztakun.asae
        ( BitDefender: Generic.Malware.SL!!D.CF8535F=
        2, AVAST4: Win32:Malware-gen )
      4. c:\users\administrator\svchost.exe - Trojan.Win32.Diztakun.a=
        sae
        ( BitDefender: Generic.Malware.SL!!D.CF8535F2, AVAST4: Win32:M=
        alware-gen )
      5. c:\windows\fonts\web\winlogon.exe - Trojan-Spy.Win32.Delf.a=
        vga
        ( AVAST4: Win32:Malware-gen )
      6. c:\windows\inf\netlibrariestip\000d\1049\5.0\sql\s sms.exe =
        - Trojan.Win32.Agentb.bwzf
      7. c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\ 5.0\spo=
        olsv.exe - Trojan.Win32.Agentb.bwzg
      8. \foto.exe - Trojan.Win32.Diztakun.asae ( BitDefender: Gene=
        ric.Malware.SL!!D.CF8535F2 )
      9. \seth.bat - Trojan.BAT.Agent.bej
      10. \syst32.exe - HEUR:Trojan-Ransom.Win32.Generic ( BitDefend=
        er: Gen:Trojan.Heur2.GZ.oGW@b0Pxehe )

    =D0=E5=EA=EE=EC=E5=ED=E4=E0=F6=E8=E8:
    1. =CE=E1=ED=E0=F0=F3=E6=E5=ED=FB =F2=F0=EE=FF=ED=F1=EA=E8=E5 =EF=F0=EE=
      =E3=F0=E0=EC=EC=FB =EA=EB=E0=F1=F1=E0 Trojan-PSW/Trojan-Spy - =ED=E0=F1=
      =F2=EE=FF=F2=E5=EB=FC=ED=EE =F0=E5=EA=EE=EC=E5=ED=E4=F3=E5=F2=F1=FF =EF=
      =EE=EC=E5=ED=FF=F2=FC =E2=F1=E5 =EF=E0=F0=EE=EB=E8 !

  • Уважаемый(ая) Dreiko, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зашифрованы файлы BADMAD
      От Dreiko в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 10.09.2019, 20:48
    2. Зашифрованы файлы. Расширение harma. Сервер
      От Ildar Dinikaev в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 24.07.2019, 22:44
    3. Ответов: 13
      Последнее сообщение: 12.07.2014, 23:21
    4. Ответов: 8
      Последнее сообщение: 28.12.2013, 19:49
    5. Ответов: 3
      Последнее сообщение: 15.11.2013, 10:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00473 seconds with 20 queries