Перейти к содержанию

Закодированы все файлы, SOS на backspace@riseup.net


Рекомендуемые сообщения

9 января около 19:00 супруга словила трояна на служебный ноут. Результат-переименованы и закодированы все файлы, самое страшное-база 1С. Все файлы имеют расширение *.backspace@riseup.net_244. Сначала был скачан, обновлен и запущен на зараженной машине avz4 со следующим скриптом:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\machineupper32 .exe','');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe ','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\NTFS\ntdsk.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Результата никакого, ноут продолжал заражать файлы на внешнем usb-драйве (приходилось запускать с него avz4).
Затем Kaspersky Resque Disk 10 обнаружил и уничтожил трояна Trojan.Win32.Bublik.kzl (10.01.14 1:49 Обнаружено троянская программа Trojan.Win32.Bublik.kzl C:/Documents and Settings/user/Application Data/Fujwjb.exe Высокая) (наверное, зря). Файл ps.ce сейчас не находится. После загрузки системы происходит попытка установки некоего Document Viewer, программа установки ищет пакет 'Document viewer.msi

Когда 10 января пытался просмотреть Event Viewer, листал раздел System до нужной даты - он вдруг стал неактивным, появился красный крест на слове Sytem, и все записи до 10 января исчезли...
Есть возможность дешифровать файлы? Нужно вернуть хотя бы только базу 1с8.

Ссылка на комментарий
Поделиться на другие сайты

Скрипт из первого сообщения был написан для вас или для другого пользователя? Данный скрипт вы выполняли?

 

По правилам раздела требуются еще логи RSIT.

 

UPD: Ваша http://virusinfo.info/showthread.php?t=152975 тема? 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Скрипт из первого сообщения был написан для вас или для другого пользователя? Данный скрипт вы выполняли?

 

По правилам раздела требуются еще логи RSIT. 

Скрипт из первого сообщения был взят из форума, не помню уже какого именно, но он собственно ничего не изменил - ноут продолжал заражать файлы на внешнем драйве. RSIT сделаю чуть позже, туда вроде как входят логи Hijackthis, которые я уже приложил

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • SAVXNNXH
      От SAVXNNXH
      При включении ПК запускается два файла dwm.exe, один из которых нагружает ПК на 70%, но при запуске Диспетчера задач файл снижает нагрузку до 0%. Путь двух dwm введет к оригинальному файлу. Антивирусы не видят этот файл
      CollectionLog-2025.01.15-20.17.zip
    • Gistap
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

    • 577kar
      От 577kar
      Добрый день, обнаружили заархивированные с паролем файлы. Текстовый файл с адресом для запроса пароля для выкупа.
      Был открыт RDP порт на роутере для удаленного подключения на сервер, предположительно взлом или подбор паролей.
      FRST.7z Mail.7z
    • Максим Ivanov
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • Azward
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
×
×
  • Создать...