Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] подозрение на шифратор

1
RSS
 
Сергей Антоненко
Сергей Антоненко
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 08.05.2014
Размещено 18.09.2016 21:03:37
Добрый вечер (день)
Посмотрите пожалуйста лог ( утилитой uVS v3.87.3) сделанный с сервера.
Есть подозрение что, возможно сидит шифратор .da_vinci_code
Если его нет, то конечно - это будет замечательно!!!
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 18.09.2016 21:23:07
Сергей Антоненко

Система чиста.
Можно ещё это сделать:

Скачайте tdsskiller отсюда:
http://support.kaspersky.ru/viruses/disinfection/5350

*Лог в будет в корне диска.
Мой компьютер диск С:\
Например: " TDSSKiller.2.6.4.0_28.11.2011_01.39.05_log.txt "
** Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Лог в тему !
 
Сергей Антоненко
Сергей Антоненко
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 08.05.2014
Размещено 18.09.2016 22:39:32
TDSSKiller ничего не обнаружил.
Просто либо шифратор не успел пролезть, либо я не знаю что...т.к. - в некоторых папках были README.txt (с инструкцией от создателя) и + в папке где была  сохраненная эл.почта, часть почты файлов поменяла название файлов на корявые типо -  +w6GVBN4mH4SjvFbi3NRkOpR9Uix3WPLjPdxeEhx1BwEIFYSCOYWNsmwMxOE­­IvEn.877E2CF607B13569DFD0.da_vinci_code


 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 18.09.2016 22:52:41
Сергей Антоненко

Посмотрите, что на карантине у антивируса.
Если есть вирус - то, сравните даты: изменения файлов с датой помещения вируса в карантин.
Возможно вирус начал шифрование и в это время его прищучили :)
 
Сергей Антоненко
Сергей Антоненко
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 08.05.2014
Размещено 18.09.2016 23:15:58
Dr.Web CureIt проверял свежим ничего не нашел  на сервере - это было как раз 3 дня назад (первый раз написал здесь на форуме), когда спалил на своем компе, что подцепил шифратор и собственно - тогда же я и отключил сразу сервер от интернета и от сети, м.б. это и спасло...а часть почты в принципе зашифрованной это хрня.

На сервере стоит ESET File Secyrity 6.2.12007.1 с базами от 15.09.2016 18:11 - он ничего не нашел на сервере и в карантине пусто!
 
Сергей Антоненко
Сергей Антоненко
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 08.05.2014
Размещено 18.09.2016 23:18:24
А на моем компе рабочем, собственно где и заварилась каша, там абсолютно все документы схавались (зашифровались) ------ вообщем будет мне уроком!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.09.2016 05:04:50
проверьте данный ID который добавлен в зашифрованные файлы на сервере и в readme*.txt на сервере
877E2CF607B13569DFD0
если он совпадает с ID зашифрованных файлов на вашей машине (и в readme*.txt), значит шифратор таки с вашей машины дотянулся до серверных папок,
(возможно они были смонтрированы как сетевой диск)
[ Как создать образ автозапуска? ]
 
1
Читают тему