Перейти к содержанию

Нужна помощь в ликвидации шифровальщика PODSTAVLIAIPOPKU, расшифровка не нужна, есть бекап.


Рекомендуемые сообщения

Бодрый день, файлы с расширением doc xls pdf были переименованы в doc.PODSTAVLIAIPOPKU  xls.PODSTAVLIAIPOPKU  pdf.PODSTAVLIAIPOPKU. Подскажите как избавиться от самого вируса, расшифровывать не надо, есть бекап. Прилагаю файлы addition FRST. Заранее благодарен.

Addition.txtПолучение информации... FRST.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

  •  
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1692681434-2668267971-1100462442-500\...\MountPoints2: {a4481829-1af6-11e6-acd9-806e6f6e6963} - E:\setup.exe
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    C:\Users\admin.ULASRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
    C:\Users\admin.ULASRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
    C:\Users\admin.ULASRV\AppData\Local\Google\Chrome\User Data\Default\Extensions\geidjeefddhgefeplhdlegoldlgiodon
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
    CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
    CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon]
    AlternateDataStreams: C:\Users\admin.ULASRV\Application Data:1 [148]
    AlternateDataStreams: C:\Users\admin.ULASRV\Local Settings:String [148]
    AlternateDataStreams: C:\Users\admin.ULASRV\AppData\Local:String [148]
    AlternateDataStreams: C:\Users\admin.ULASRV\AppData\Roaming:1 [148]
    FirewallRules: [{7A624B11-8566-449A-8B61-5CB0B26DE054}] => (Allow) LPort=8080
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Слишком много администраторов. У них всех смените пароли и задайте ограниченное количество попыток неправильного ввода пароля.

RDP не открывайте наружу, только через VPN.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KOMK
      Автор KOMK
      Доброго времени суток.
      Поймали шифровальщик.Атакована вся организация. Выясняем источник откуда и как,но раскидался он по рдп на как минимум 7 рабочих мест, включая серв  АД и 1С. Так же на одном из предполагаемых источников заражения была обнаружена программа Everything API и крипто-программа КАРМА,мб оно как-то даст какую-то полезность?
      А так же папка с файлами именованная как "automim1"?
      Скажите вообще есть ли надежда что как-то можно найти остатки шифровальщика? Шифрованные файлы и файл записку прилагаю в архиве с паролем "virus":
      Остальное не знаю как добавить,вес больше 5мб получается.
       
      sekr_2.7z
    • Marauders666
      Автор Marauders666
      Приветствую всех! Прошу о помощи, залетел шифровальщик. Путем поиска нашел что возможно расшифровать с помощью RannohDecryptor, но он мне пишет:Can't initialize on pair
      Файлы которые нашел прикладываю. (Я так понимаю софт через который это все сделали и оригинал файла xx .txt я подумал может быть это ключ..
       
    • АндрейП
      Автор АндрейП
      Здравствуйте. Зашифровали два стареньких сервера терминалов, источник не понятен- ещё разбираемся. Подскажите есть шанс на расшифровку? На одном сервере у одного пользователя нашел в папке Pictures остатки вредоносного ПО, на втором в новой созданной злоумышленником учетке system32 почти такие же файлы, пришлю по запросу.
       
      файлы.rar
    • KakoeImyaSdelat
      Автор KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
    • Vopj
      Автор Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
×
×
  • Создать...