Добрый день. Был пойман шифровальщик и все файлы были переименованы вот в так Список.xlsx.MRV. Зараженным оказался 1 компьютер в сети + сетевое хранилище NAS.
Добрый день. Был пойман шифровальщик и все файлы были переименованы вот в так Список.xlsx.MRV. Зараженным оказался 1 компьютер в сети + сетевое хранилище NAS.
Человеческой глупости нужно ставить памятники © Зураб Церетели
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) a_deep, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files (x86)\kontur.toolbox2.exe.mrv', ''); QuarantineFile('C:\ProgramData\CoverPortal\RujeWcrk\XPKPPhgm_De40u.dll', ''); QuarantineFile('C:\read-me.txt', ''); QuarantineFile('C:\Users\Светлана\AppData\Roaming\Microsoft\asabawuu\wvssiiei.exe', ''); QuarantineFileF('c:\programdata\coverportal', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); QuarantineFileF('c:\users\светлана\appdata\roaming\microsoft\asabawuu', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('"C:\Users\Светлана\AppData\Local\Amigo\Application\amigo.exe" http://crophit.ru/wizardsm', '64'); DeleteFile('C:\ProgramData\CoverPortal\RujeWcrk\XPKPPhgm_De40u.dll', ''); DeleteFile('C:\ProgramData\CoverPortal\RujeWcrk\XPKPPhgm_De40u.dll', '64'); DeleteFile('C:\Users\Светлана\AppData\Local\Amigo\Application\amigo.exe', '64'); DeleteFile('C:\Users\Светлана\AppData\Roaming\Microsoft\asabawuu\wvssiiei.exe', '32'); DeleteFile('C:\Users\Светлана\AppData\Roaming\Microsoft\asabawuu\wvssiiei.exe', '64'); DeleteFileMask('"c:\users\светлана\appdata\local\amigo', '*', true); DeleteFileMask('c:\programdata\coverportal', '*', true); DeleteFileMask('c:\users\светлана\appdata\local\amigo', '*', true); DeleteFileMask('c:\users\светлана\appdata\roaming\microsoft\asabawuu', '*', true); DeleteDirectory('"c:\users\светлана\appdata\local\amigo'); DeleteDirectory('c:\programdata\coverportal'); DeleteDirectory('c:\users\светлана\appdata\local\amigo'); DeleteDirectory('c:\users\светлана\appdata\roaming\microsoft\asabawuu'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Flock', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Flock', '64'); DeleteSchedulerTask('crophit'); DeleteSchedulerTask('Microsoft\Windows\Application Experience\MSJPE.GroupPolicy.Reporting.Resources'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Также этот архив загрузите в облако или на файлообменник (предварительно упакуйте ещё в один архив с паролем), ссылку и пароль сообщите мне в личном сообщении.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
- - - - -Добавлено - - - - -
Да, кстати, Mikrotik там у вас не ломанули?
WBR,
Vadim
Проблема - после перезагрузки вирус зашифровал все, что не было зашифровано, в том числе, отчет авз. Запустил его по сетке с другого компа, выслал. Так же умер проводник - farbar пришлось запускать из безопасного режима, по другому никак.
Касаемо Микротика - как проверить был ли взлом?
Еще один комп заразился. Для него проделать все те же действия?
Человеческой глупости нужно ставить памятники © Зураб Церетели
Для другого компьютера создайте отдельную тему, чтобы в логах не запутаться.
И приложите тут сообщение вымогателей read-me.txt.
WBR,
Vadim
Во вложенииСообщение от Vvvyg
Человеческой глупости нужно ставить памятники © Зураб Церетели
проверьте на virustotal.com и пришлите ссылки на результат анализаC:\Windows\Microsoft.NET\Framework\uW6sQ\svchost.e xe
C:\Windows\Microsoft.NET\Framework\OBrMt\svchost.e xe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Во вложении
Человеческой глупости нужно ставить памятники © Зураб Церетели
Вместо скриншотов добавьте ссылки на результат, пожалуйста.
Пардон. не разобрался сразу.
https://www.virustotal.com/old-brows...QzNDcxNg%3D%3D
https://www.virustotal.com/old-brows...ddd611d8348211
Человеческой глупости нужно ставить памятники © Зураб Церетели
Спасибо!
Я продублирую полными ссылками:
https://www.virustotal.com/gui/file/...84c7d6a6e2d006
https://www.virustotal.com/gui/file/...ddd611d8348211
Ваши права в разделе
Ответить с цитированием
