Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Помогите с шифровальщиком

itadler
 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Один из файлов info.txt (например, этот C:\Users\Бухгалтер\Desktop\info.txt) прикрепите к следующему сообщению.

Скорее всего расшифровки нет, похоже на Phobos.

Файл

Цитата

C:\Users\Бухгалтер\AppData\Local\backuppers.exe

проверьте на www.virustotal.com и результат в виде ссылки тоже дайте следующим сообщением.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\Бухгалтер\AppData\Local\backuppers.exe <2>
HKLM\...\Run: [backuppers] => C:\Users\Бухгалтер\AppData\Local\backuppers.exe [56832 2022-11-14] () [Файл не подписан]
HKU\S-1-5-21-3058589301-1923809207-1928219453-1011\...\Run: [backuppers] => C:\Users\Бухгалтер\AppData\Local\backuppers.exe [56832 2022-11-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\backuppers.exe [2022-11-14] () [Файл не подписан]
Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\backuppers.exe [2022-11-14] () [Файл не подписан]
2022-11-22 09:46 - 2022-11-22 11:44 - 000005457 _____ C:\Users\Бухгалтер\Desktop\info.hta
2022-11-22 09:46 - 2022-11-22 11:44 - 000000182 _____ C:\Users\Бухгалтер\Desktop\info.txt
2022-11-22 09:46 - 2022-11-14 08:33 - 000056832 _____ C:\Users\Бухгалтер\AppData\Local\backuppers.exe
2022-11-22 09:45 - 2022-11-22 09:45 - 000000020 ___SH C:\Users\Бухгалтер\ntuser.ini
2022-11-22 01:00 - 2022-11-22 11:44 - 000005457 _____ C:\Users\Public\Desktop\info.hta
2022-11-22 01:00 - 2022-11-22 11:44 - 000005457 _____ C:\info.hta
2022-11-22 01:00 - 2022-11-22 11:44 - 000000182 _____ C:\Users\Public\Desktop\info.txt
2022-11-22 01:00 - 2022-11-22 11:44 - 000000182 _____ C:\info.txt
2022-11-22 09:46 - 2022-11-14 08:33 - 000056832 _____ () C:\Users\Бухгалтер\AppData\Local\backuppers.exe
FirewallRules: [{F59795F0-1423-4A27-9B72-844AF937CCCE}] => (Allow) LPort=5130
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пять администраторов - многовато. Смените пароли на админские учётки и пароли на подключение через RDP. Последнее, если необходимо, прячьте за VPN.

Ссылка на комментарий
Поделиться на другие сайты
itadler Новичок

itadler

Опубликовано
  • Автор
Опубликовано

Результаты исправления Farbar Recovery Scan Tool (x64) Версия: 18-11-2022
Запущено с помощью Бухгалтер (22-11-2022 14:52:28) Run:1
Запущено из C:\Users\Бухгалтер\Desktop
Загруженные профили: Бухгалтер
Режим загрузки: Normal
==============================================

fixlist содержимое:
*****************
Start::
(explorer.exe ->) () [Файл не подписан] C:\Users\Бухгалтер\AppData\Local\backuppers.exe <2>
HKLM\...\Run: [backuppers] => C:\Users\Бухгалтер\AppData\Local\backuppers.exe [56832 2022-11-14] () [Файл не подписан]
HKU\S-1-5-21-3058589301-1923809207-1928219453-1011\...\Run: [backuppers] => C:\Users\Бухгалтер\AppData\Local\backuppers.exe [56832 2022-11-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\backuppers.exe [2022-11-14] () [Файл не подписан]
Startup: C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\backuppers.exe [2022-11-14] () [Файл не подписан]
2022-11-22 09:46 - 2022-11-22 11:44 - 000005457 _____ C:\Users\Бухгалтер\Desktop\info.hta
2022-11-22 09:46 - 2022-11-22 11:44 - 000000182 _____ C:\Users\Бухгалтер\Desktop\info.txt
2022-11-22 09:46 - 2022-11-14 08:33 - 000056832 _____ C:\Users\Бухгалтер\AppData\Local\backuppers.exe
2022-11-22 09:45 - 2022-11-22 09:45 - 000000020 ___SH C:\Users\Бухгалтер\ntuser.ini
2022-11-22 01:00 - 2022-11-22 11:44 - 000005457 _____ C:\Users\Public\Desktop\info.hta
2022-11-22 01:00 - 2022-11-22 11:44 - 000005457 _____ C:\info.hta
2022-11-22 01:00 - 2022-11-22 11:44 - 000000182 _____ C:\Users\Public\Desktop\info.txt
2022-11-22 01:00 - 2022-11-22 11:44 - 000000182 _____ C:\info.txt
2022-11-22 09:46 - 2022-11-14 08:33 - 000056832 _____ () C:\Users\Бухгалтер\AppData\Local\backuppers.exe
FirewallRules: [{F59795F0-1423-4A27-9B72-844AF937CCCE}] => (Allow) LPort=5130
End::

*****************

[1988] C:\Users\Бухгалтер\AppData\Local\backuppers.exe => процесс успешно завершён.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\backuppers" => успешно удалены
"HKU\S-1-5-21-3058589301-1923809207-1928219453-1011\Software\Microsoft\Windows\CurrentVersion\Run\\backuppers" => успешно удалены
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\backuppers.exe => успешно перемещены
C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\backuppers.exe => успешно перемещены
C:\Users\Бухгалтер\Desktop\info.hta => успешно перемещены
C:\Users\Бухгалтер\Desktop\info.txt => успешно перемещены
Не могут быть перемещены” "C:\Users\Бухгалтер\AppData\Local\backuppers.exe" => Запланирован к перемещению после перезагрузки.
C:\Users\Бухгалтер\ntuser.ini => успешно перемещены
C:\Users\Public\Desktop\info.hta => успешно перемещены
C:\info.hta => успешно перемещены
C:\Users\Public\Desktop\info.txt => успешно перемещены
C:\info.txt => успешно перемещены
Не могут быть перемещены” "C:\Users\Бухгалтер\AppData\Local\backuppers.exe" => Запланирован к перемещению после перезагрузки.
"HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{F59795F0-1423-4A27-9B72-844AF937CCCE}" => успешно удалены

Файлы для перемещения (Режим Загрузки:Normal) (Дата и Время: 22-11-2022 14:53:51)

C:\Users\Бухгалтер\AppData\Local\backuppers.exe => Успешно перемещены
C:\Users\Бухгалтер\AppData\Local\backuppers.exe => Успешно перемещены

==== Конец  Fixlog 14:53:51 ====

 

Через учетку бухгалтер вирус попал на сервер?

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • KNS
      Помогите с шифровальщиком
      Автор KNS
      Добрый день. Поймал шифровальщика, система и 99% данных восстановлены из бэкапа.
      Не хватает нескольких файлов.

      Помогите с расшифровкой.

      Прикрепляю пример зашифрованного файла и записку о выкупе.

      Заранее благодарю!
      123.zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Dmdozors1982
      [РЕШЕНО] Помогите удалить tool.btcmine.2794
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
×
×
  • Создать...