Перейти к содержанию

Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.


Рекомендуемые сообщения

Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.

 

Я не смог запуститьна том компе ничего, вставленная флешка была моментально заражена.  И вот заражённые файлы я вложил сюда во вложении

 

 

 

 

FRST64.exe.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar key.txt.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar

Ссылка на сообщение
Поделиться на другие сайты

Я эти файлы посмотрел и на их основании сделал вывод. Тип вымогателя Phobos, расшифровки нет, увы.

Ссылка на сообщение
Поделиться на другие сайты

Если нужна помощь в очистке системы от мусора и следов вымогателя, добавьте лог Addition.txt и соберите CollectionLog Автологером по этой инструкции.

 

Ссылка на сообщение
Поделиться на другие сайты

Пытаюсь по инструкции запустить 

Ни тот ни другой не запускается.....  Как быть?  Продолжить по инструкции без запуска их?

(скрин во вложении)

Screenshot_3.jpg

Screenshot_2.jpg

Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, Neo05 сказал:

Продолжить по инструкции без запуска их?

Да, интересует только архив CollectionLog от Автологера.

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Fast.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Fast.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt

 

Ссылка на сообщение
Поделиться на другие сайты
Цитата

Загруженные профили: False <==== ВНИМАНИЕ (Временный профиль?)


Нормально войти в систему не получается?

Цитата

Drive C () (Fixed) (Total:49.9 GB) (Free:3.09 GB)

Очень мало места на системном диске.

 

Моё мнение - лучше всего систему переустановить, предварительно скопировав нужные данные на внешний носитель.

Пять учётных записей с правами администратора - много. Учтите на будущее.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Sandor сказал:

Нормально войти в систему не получается?

Нет, не получается.  Как то странно входит и частенько как будто впервые после установки в профиль входишь - в левом верхнем углу возникает окошко временное - создание профиля и т.п.   надписи.

 

 

3 часа назад, Sandor сказал:

Моё мнение - лучше всего систему переустановить, предварительно скопировав нужные данные на внешний носитель.

 

Боюсь потерять данные базы 1С.   

Больше ничего нельзя сделать?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Oleg090
      От Oleg090
      АльфаБанк.xls.id[16191C45-3352].[miltonqq@tuta.io].rar
    • Batistuta
      От Batistuta
      Здравствуйте.помогите пожалуйста понять,всё ли процессы в системе безопасные и нет ли среди них вирусных.в вк кто то добавляет непонятных людей в друзья и им прилашения не отправлял.захотел посмотреть в системе какие программы запускались поиск ничего не показывает.я в этом всём не разбираюсь совершенно.помогите пожалуйста понять всё ли нормально с файлами в системе и как понять если кто то следит за онлайн действиями?(возможно у меня параноя) ну в любом случае в вк кто то добавил людей без моего ведома.ещё я зашёл в журнал событий во владку безопасность,хотел понять есть там кроме моей учётной записи какие то другие,там много разных:какие то обозначены моей,а какие то системными-не поможете разобраться всё ли там нормально?
    • Наталья8909
      От Наталья8909
      Крик души бухгалтера!
      Прошу помощи, всеми файлами на моем ПК завладел вирус вымогатель elbie! 
      Абсолютно все ПО также не работают!
      Подскажите пожалуйста можно ли восстановить файлы и удалить этот вирус?
      11.02.2024

    • Shantin
      От Shantin
      Добрый день! Поймали шифровальщика на сервере.  
       
      !!All of your files are encrypted!!!
      To decrypt them send e-mail to this address: miltonqq@tuta.io.
      If we don't answer in 24h, send messge to telegram: @DataSupport911

      virus.rar
       
      FRST.txt
    • Funbo
      От Funbo
      Зашифровались через доступ к папкам на сервере, одного сотрудника. К сожалению, доступ был почти до всей информации, но часть уцелела.
      В требовании от злоумышленников не было номер, только текст с запросом. YНа диске был файл с расширением .hta,  в нем было больше информации ( могу его отправить вместе с файлами вируса предположительно)
      Текст из файла приложил в архиве с зашифрованными файлами
      files.rar Addition.txt FRST.txt
×
×
  • Создать...