Перейти к содержанию

Поймал вирус

baha
 Поделиться

Рекомендуемые сообщения

baha

baha

Опубликовано
Опубликовано

Добрый день. Зашифровали файлы с расширением QllsD3Soa, можете помочь?

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Переместил вашу тему в подходящий раздел, в котором немного другие правила - Порядок оформления запроса о помощи

Выполните их тоже, пожалуйста.

Новую тему создавать не нужно, продолжайте здесь.

Sandor

Sandor

Опубликовано
Опубликовано

Пробуем определить тип вымогателя, некоторое время подождите.

 

Компьютер, на котором собирались логи, похоже не является источником заражения. Следов вымогателя не видно.

Но разрешения на порты

Цитата

FirewallRules: [{87B09971-FC1A-4DB1-8C24-AC9EBE8F5746}] => (Allow) LPort=475
FirewallRules: [{7305979C-9803-4AC1-BA69-43CB609B3677}] => (Allow) LPort=475


закройте.

Sandor

Sandor

Опубликовано
Опубликовано

Заражение давно произошло?

Переделайте, пожалуйста, логи FRST.txt и Addition.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".

baha

baha

Опубликовано
  • Автор
Опубликовано

произошло сегодня в 2-3ч ночи

до этого лог вроде снимал за последние 60 дней, если не ошибаюсь

Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, поищите ещё несколько зашифрованных документов популярных форматов. Возможно найдёте их незашифрованные оригиналы, их тоже прикрепите.

Sandor

Sandor

Опубликовано
Опубликовано

Архив

Цитата

C:\Users\Администратор\dirc.7z

вам известен?

baha

baha

Опубликовано
  • Автор
Опубликовано

Да. 
Нашел комп который был атакован. Сниму с него RST.txt и Addition.txt, и выложу

 

 

Это с компа который был атакован.
Пришло письмо с вложением от ФСПП с вирусом. На оф.сайте ФСПП есть уведомление о том, что от их имени отправляют письма с вирусами. Но, это я уже нашел после

Addition.txt FRST.txt

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Это CriptomanGizmo Ransomware. Расшифровки нет, к сожалению.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и не поддерживаемое ПО:
 

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\MountPoints2: {410c435f-624d-11ec-b996-f832e49f7c6c} - F:\HiSuiteDownLoader.exe
Task: {285951FC-288E-4D91-9763-DE5367B47783} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2020-12-09] (Adobe Inc. -> Adobe)
Task: {C263027E-7A2D-4F41-AA9D-031160734CBC} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_Plugin.exe [1504312 2020-12-09] (Adobe Inc. -> Adobe)
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkekdlkmdpipihonapoleopfekmapadh
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
CHR HKU\S-1-5-21-911709941-1031200930-1611764957-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [djlkjhaeaofhlchjkhhohmgadibkoaad]
C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
2023-01-26 02:59 - 2023-01-26 02:59 - 004147254 _____ C:\ProgramData\QlIsD3SoA.bmp
2023-01-25 20:35 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Local\QlIsD3SoA.README.txt
2023-01-25 20:34 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\LocalLow\QlIsD3SoA.README.txt
2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Roaming\QlIsD3SoA.README.txt
2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\QlIsD3SoA.README.txt
2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Documents\QlIsD3SoA.README.txt
2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Desktop\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\LocalLow\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Local\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Downloads\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Downloads\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Documents\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Desktop\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Roaming\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\QlIsD3SoA.README.txt
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\QlIsD3SoA.bmp
FirewallRules: [{9C9E56BD-9A29-4786-82D5-D03FD53A7B83}] => (Allow) Z:\\tools\aria2c.exe => Нет файла
FirewallRules: [{1B87E31C-51B8-4B6F-8BC8-A22640A610CA}] => (Allow) LPort=1433
FirewallRules: [{223547E0-6174-40E4-9228-CD7C1910FE88}] => (Allow) LPort=1434
FirewallRules: [{A973A086-F351-4FF9-AF1A-A31D301A4991}] => (Allow) LPort=9422
FirewallRules: [{0B951C74-F184-4F5C-AE3D-C4F64B952AF7}] => (Allow) LPort=9245
FirewallRules: [{60AE8E82-9583-4AB5-B029-66E197122520}] => (Allow) LPort=9246
FirewallRules: [{4BAC5453-A052-4527-BB7C-B11B8715BAFB}] => (Allow) LPort=9247
FirewallRules: [{83FC79F5-E6A6-4657-955C-2E4C0DB2C9FB}] => (Allow) LPort=3702
FirewallRules: [{423F53E3-27CB-4D7B-BB94-071A1336495F}] => (Allow) LPort=9244
FirewallRules: [{9788A1F8-B5A9-4932-A1DF-DE3D5DC13F37}] => (Allow) LPort=9444
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Андрей45
      Помощь в расшифровке. upyVegTmW
      Автор Андрей45
      Добрый день

      поймали  вирус локбит3 блэк
       
      Ниже две ссылки
      1. Файл образа диска. ссылку отпрвлю в лс, напишите мне пожалуйста, не могу
      Это , якобы,  расшифрованный проблемный диск. Ранее у него было двойное  расширение (upyVegTmW.upyVegTmW) и файл не поменял расширение. Мы поменяли его в ручную на VHD и прогоняли черещ Р-студио , но данные внутри частично повреждены. Возможно диск был зашифрован два раза.
      2. во вложении декриптор и приемры файлов. нас очень интересует возможность расшифровать vhd диски.

      Вопрос
      Можно ли расшифровать до конца файл образа диска? или нет. Мы получили дешифратор, но как будто диск зашифровался два раза.  Через р студио часть данных битые.
      virus.rar
    • Rival
      Шифровальщик LockBit Black Ransomware
      Автор Rival
      Добрый день! Просим Вашей помощи в возможности расшифровки файлов. FRST запускался к сожалению уже после проверки системой через KVRT - тот нашёл и вычистил потенциального зловреда (во вложении).
      FRST.txt unity.zip Addition.txt
      decrypted_files.zip
    • Андрей Салтыков
      Вирус шифровальщик, помогите расшифровать файлы. Расширение QS4ZtPd2i
      Автор Андрей Салтыков
      Здравствуйте, зашифровали файлы.
      Our Telegram for decrypt - @limes853
      You can send some small test files to test our decryptor.
      You pay a few thousand USDT and we will provide you with a decryptor, detailed information about the cyberattack, backdoor and tips for future protection.Файлы.rar Сам шифровальщик intel.7z Отчет.rar
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
    • Sart
      Давнишнее заражение
      Автор Sart
      Приветствую
      Зашифровано давно, февраль 2023 г
      Человек открыл вложение "Информация должнику.exe" из письма
      Просто оставлю тут, вдруг когда-нибудь всплывёт расшифровка
      blackbit.rar
×
×
  • Создать...