phobos Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.

[Neo05 0]

Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.

 

Я не смог запуститьна том компе ничего, вставленная флешка была моментально заражена.  И вот заражённые файлы я вложил сюда во вложении

 

 

 

 

FRST64.exe.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar key.txt.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar

[Sandor 1 200]

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

[Neo05 0]

Я смог закинуть туда файл FRST64.exe   и создать  текстовые файлы что требуются.  Не посмотрите не получится ли помочь?

 

 

[Sandor 1 200]

Я эти файлы посмотрел и на их основании сделал вывод. Тип вымогателя Phobos, расшифровки нет, увы.

[Neo05 0]

На всякий случай. Вот они файлы...

info.txt FRST.txt

[Sandor 1 200]

Если нужна помощь в очистке системы от мусора и следов вымогателя, добавьте лог Addition.txt и соберите CollectionLog Автологером по этой инструкции.

 

[Neo05 0]

Пытаюсь по инструкции запустить 

• Kaspersky Virus Removal Tool;
• Dr.Web CureIt!.

Ни тот ни другой не запускается.....  Как быть?  Продолжить по инструкции без запуска их?

(скрин во вложении)

[Sandor 1 200]

7 минут назад, Neo05 сказал:

Продолжить по инструкции без запуска их?

Да, интересует только архив CollectionLog от Автологера.

[Neo05 0]

Сделал.   Файл во вложении

CollectionLog-2022.11.10-10.29.zip

[Sandor 1 200]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Fast.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt

 

[Neo05 0]

Сделал.   Во вложении файлы   

Addition.txt FRST.txt

[Sandor 1 200]

Цитата

Загруженные профили: False <==== ВНИМАНИЕ (Временный профиль?)

Нормально войти в систему не получается?

Цитата

Drive C () (Fixed) (Total:49.9 GB) (Free:3.09 GB)

Очень мало места на системном диске.

 

Моё мнение - лучше всего систему переустановить, предварительно скопировав нужные данные на внешний носитель.

Пять учётных записей с правами администратора - много. Учтите на будущее.

Изменено 10 ноября, 2022 пользователем Sandor

[Neo05 0]

3 часа назад, Sandor сказал:

Нормально войти в систему не получается?

Нет, не получается.  Как то странно входит и частенько как будто впервые после установки в профиль входишь - в левом верхнем углу возникает окошко временное - создание профиля и т.п.   надписи.

 

 

3 часа назад, Sandor сказал:

Моё мнение - лучше всего систему переустановить, предварительно скопировав нужные данные на внешний носитель.

 

Боюсь потерять данные базы 1С.   

Больше ничего нельзя сделать?