Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] подозрение на шифратор

1
RSS
 
Сергей Антоненко
Сергей Антоненко
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 08.05.2014
Размещено 18.09.2016 21:03:37
Добрый вечер (день)
Посмотрите пожалуйста лог ( утилитой uVS v3.87.3) сделанный с сервера.
Есть подозрение что, возможно сидит шифратор .da_vinci_code
Если его нет, то конечно - это будет замечательно!!!
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 18.09.2016 21:23:07
Сергей Антоненко

Система чиста.
Можно ещё это сделать:

Скачайте tdsskiller отсюда:
http://support.kaspersky.ru/viruses/disinfection/5350

*Лог в будет в корне диска.
Мой компьютер диск С:\
Например: " TDSSKiller.2.6.4.0_28.11.2011_01.39.05_log.txt "
** Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Лог в тему !
 
Сергей Антоненко
Сергей Антоненко
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 08.05.2014
Размещено 18.09.2016 22:39:32
TDSSKiller ничего не обнаружил.
Просто либо шифратор не успел пролезть, либо я не знаю что...т.к. - в некоторых папках были README.txt (с инструкцией от создателя) и + в папке где была  сохраненная эл.почта, часть почты файлов поменяла название файлов на корявые типо -  +w6GVBN4mH4SjvFbi3NRkOpR9Uix3WPLjPdxeEhx1BwEIFYSCOYWNsmwMxOE­­IvEn.877E2CF607B13569DFD0.da_vinci_code


 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 18.09.2016 22:52:41
Сергей Антоненко

Посмотрите, что на карантине у антивируса.
Если есть вирус - то, сравните даты: изменения файлов с датой помещения вируса в карантин.
Возможно вирус начал шифрование и в это время его прищучили :)
 
Сергей Антоненко
Сергей Антоненко
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 08.05.2014
Размещено 18.09.2016 23:15:58
Dr.Web CureIt проверял свежим ничего не нашел  на сервере - это было как раз 3 дня назад (первый раз написал здесь на форуме), когда спалил на своем компе, что подцепил шифратор и собственно - тогда же я и отключил сразу сервер от интернета и от сети, м.б. это и спасло...а часть почты в принципе зашифрованной это хрня.

На сервере стоит ESET File Secyrity 6.2.12007.1 с базами от 15.09.2016 18:11 - он ничего не нашел на сервере и в карантине пусто!
 
Сергей Антоненко
Сергей Антоненко
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 08.05.2014
Размещено 18.09.2016 23:18:24
А на моем компе рабочем, собственно где и заварилась каша, там абсолютно все документы схавались (зашифровались) ------ вообщем будет мне уроком!!!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.09.2016 05:04:50
проверьте данный ID который добавлен в зашифрованные файлы на сервере и в readme*.txt на сервере
877E2CF607B13569DFD0
если он совпадает с ID зашифрованных файлов на вашей машине (и в readme*.txt), значит шифратор таки с вашей машины дотянулся до серверных папок,
(возможно они были смонтрированы как сетевой диск)
[ Как создать образ автозапуска? ]
 
1
Читают тему