Перейти к содержанию

Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.

Neo05
 Поделиться

Рекомендуемые сообщения

Neo05

Neo05

Опубликовано
Опубликовано

Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.

 

Я не смог запуститьна том компе ничего, вставленная флешка была моментально заражена.  И вот заражённые файлы я вложил сюда во вложении

 

 

 

 

FRST64.exe.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar key.txt.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Neo05

Neo05

Опубликовано
  • Автор
Опубликовано

Я смог закинуть туда файл FRST64.exe   и создать  текстовые файлы что требуются.  Не посмотрите не получится ли помочь?

 

 

Sandor

Sandor

Опубликовано
Опубликовано

Я эти файлы посмотрел и на их основании сделал вывод. Тип вымогателя Phobos, расшифровки нет, увы.

Sandor

Sandor

Опубликовано
Опубликовано

Если нужна помощь в очистке системы от мусора и следов вымогателя, добавьте лог Addition.txt и соберите CollectionLog Автологером по этой инструкции.

 

Sandor

Sandor

Опубликовано
Опубликовано
7 минут назад, Neo05 сказал:

Продолжить по инструкции без запуска их?

Да, интересует только архив CollectionLog от Автологера.

Sandor

Sandor

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Fast.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt

 

Sandor

Sandor

Опубликовано
Опубликовано (изменено)
Цитата

Загруженные профили: False <==== ВНИМАНИЕ (Временный профиль?)


Нормально войти в систему не получается?

Цитата

Drive C () (Fixed) (Total:49.9 GB) (Free:3.09 GB)

Очень мало места на системном диске.

 

Моё мнение - лучше всего систему переустановить, предварительно скопировав нужные данные на внешний носитель.

Пять учётных записей с правами администратора - много. Учтите на будущее.

Изменено пользователем Sandor
Neo05

Neo05

Опубликовано
  • Автор
Опубликовано
3 часа назад, Sandor сказал:

Нормально войти в систему не получается?

Нет, не получается.  Как то странно входит и частенько как будто впервые после установки в профиль входишь - в левом верхнем углу возникает окошко временное - создание профиля и т.п.   надписи.

 

 

3 часа назад, Sandor сказал:

Моё мнение - лучше всего систему переустановить, предварительно скопировав нужные данные на внешний носитель.

 

Боюсь потерять данные базы 1С.   

Больше ничего нельзя сделать?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Юлий Цезарь
      Зашли в steam без подтверждения и украли баланс
      Автор Юлий Цезарь
      Всем привет. Вчера меня очередной раз взломали в steam и уперли последние 2000 рублей. До этого меня взламывали в июне 2025, потом повтор был в июле пару раз (общий ущерб в прошлом около 10 тысяч рублей.
      Я через касперский проверял систему, нашел кучу вирусов и тд., также удалил Steam полностью и перенес на другой диск его заново, чтобы все встроенное в стим ушло. 
      Уже все что можно перепробовал.
      Ничего не скачивал, не устанавливал для стима ничего, не вводил данные на фишинговом сайте, так как знаю, что авторизация у меня там всегда автоматическая, заново ввод никогда не требуется.
      Я подозревал и подозреваю снова, что где-то через что-то активируется стиллер, который забирает мои файлы авторизации Steam, которые в папке стим находятся.
      Думаю снести Windows заново, но придется потратит кучу времени и тд. для восстановления всех нужных приложений для работы, которой занимаюсь.

      Двоюродный младший брат скачивал запретку на дискорд летом и может через него данные улетали+я поставил это же приложение дней 10 назад для связи с другом и вот опять ушло, но ушло почему-то спустя только времени, а прошлый раз быстрее взломали 2-3 дня после того, как племянник установил эту запретку на мой комп. Также в дискорде меня тоже взломали летом, а узнал я только когда его снова установил, там была рассылка спама с фишингом Steam, я просто на нее кликнул и она не сработала, может тогда и утекло все. Я не знаю...
      Возможно сейчас в steam встроился снова стиллер, который будет снова выводить мои средства под 0.
      Может ли кто-то помочь с данным вопросом и помочь найти этого виновника и как удалить? Или же мне просто проще снести Windows.



    • Nae
      Зашифрован терминальный сервер 1С
      Автор Nae
      Addition.txtFRST.txt
      Система нормально запускается, интересует только восстановление баз 1С.
      Спасибо!
      файлы и записка.rar
    • shauramaxim
      Непонятный шифровальщик зашифровал 1С
      Автор shauramaxim
      30 декабря обнаружили что на сервере 1С (Windows 7) зашифрованы все базы в т ч бэкапы
      Просьба помочь с определением чем зашифровано и если возможно оказать помощь в расшифровке
       
      здесь оставлю один из зашифрованных файлов
      archive.zip
    • SirAlex
      Шифровальщик *.acton
      Автор SirAlex
      Добрый день.
      Нужна помощь в дешифровке компьютерных файлов после действия вируса-шифровальщика. 
      Явного источника шифрования не обнаружено. Предшествовала установка  специфических плагинов для интернет клиент банка с правами администратора. Перед установкой файлы проверялись антивирусом Avast и на VirusTotal.com. Под этим администратором не исполнялось ничего вредоносного. Сам пользователь утверждает , что больше ничего не открывал и подозрительной почты не принимал.
      Стационарная антивирусная система Avast была обнаружена отключенной. После запуска экранов и проверки системы обнаружила и уничтожила 2 подозрительных процесса. Дальше была произведена полная проверка системы утилитой DrWeb CureIt. Сам вирус исполнялся процессом ph_exec.exe и разместил несколько копий себя в разных пользовательских каталогах системы. Данный файл сохранён в карантине.
      Зашифрованы пользовательские файлы на доменном ПК и на всех доступных данному ограниченному (не администратору) пользователю для изменения сетевых ресурсах, для каждого из которых зловред создал отдельный сетевой диск.
      Некоторых файлов сохранились резервные копии на сторонних ресурсах.
    • toks
      Шифровальщик .acton
      Автор toks
      Здравствуйте! Кто-нибудь сталкивался с таким? 
      "ФОРМА 2-ТП(воздух).xls.id[46B13D45-1065].[inness.mcbride@aol.com].Acton"
       
      Не могу понять тип шифровальщика.
      ФОРМА 2-ТП(воздух).xls.id46B13D45-1065.inness.mcbride@aol.com.rar
×
×
  • Создать...