Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

словил шифровальщик .deep

o.v.burcev
 Поделиться

Рекомендуемые сообщения

o.v.burcev Новичок

o.v.burcev

Опубликовано
Опубликовано

Добрый вечер.

Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить

 

Пароль на архив с файлами вируса - virus

virus.zip файлы FRST.7z File1.7z File2.7z

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Расшифровки нет.

 

Чистка мусора в системе, в т.ч. активного шифровальщика, нужна или система под переустановку?

Ссылка на комментарий
Поделиться на другие сайты
o.v.burcev Новичок

o.v.burcev

Опубликовано
  • Автор
Опубликовано

Коллеги, а вообще если не трудно, пришлите как почистить систему в текущем виде, надо оставить небольшой шанс, что получится хоть что то восстановить

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

Admin (S-1-5-21-4020617628-2862444755-50925135-1000 - Administrator - Enabled) => C:\Users\Admin
sa (S-1-5-21-4020617628-2862444755-50925135-500 - Administrator - Enabled) => C:\Users\sa

обе учетки Ваши?
 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\Run: [sql] => C:\Users\Admin\AppData\Local\sql.exe [57344 2023-10-19] () [Файл не подписан]
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {0448cf28-cd7f-11ea-b8db-bcaec5d6fa72} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {0448cf30-cd7f-11ea-b8db-bcaec5d6fa72} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {1932c27f-2471-11e9-8716-bcaec5d6fa72} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {4fb24a7b-14b4-11e9-9c77-bcaec5d6fa72} - E:\HiSuiteDownLoader.exe
IFEO\taskmgr.exe: [Debugger] Hotkey Disabled
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe [2023-10-19] () [Файл не подписан]
2023-11-11 01:21 - 2023-11-11 01:21 - 000005520 _____ C:\Users\Public\Desktop\info.hta
2023-11-11 01:21 - 2023-11-11 01:21 - 000005520 _____ C:\Users\Admin\Desktop\info.hta
2023-11-11 01:21 - 2023-11-11 01:21 - 000000164 _____ C:\Users\Public\Desktop\info.txt
2023-11-11 01:21 - 2023-11-11 01:21 - 000000164 _____ C:\Users\Admin\Desktop\info.txt
2023-11-10 23:53 - 2023-10-19 13:19 - 000057344 _____ C:\Users\Admin\AppData\Local\sql.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
FirewallRules: [{8CB7F7D2-A6C8-4599-A8DC-8BA67B404F73}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{1AC34BCF-1743-49C6-B903-030E726EA68E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{5BD42CDD-E662-42EB-B1BD-081860E95324}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{89FD56FC-16FF-487D-892E-5D7D3A25A37F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B20CD685-2B64-4D40-9813-B6FD7DFCF6F9}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4156904E-6F83-4B3D-93EE-4556532335E9}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{2CC74151-99B2-4051-BBB4-AFA488271530}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{ED38BA01-7B06-4519-946C-EE49CE6118DE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{65FC92F7-FEF6-4A49-BC3C-59CBDDFB3982}] => (Allow) C:\Users\Admin\AppData\Local\Programs\Opera\88.0.4412.74\opera.exe => Нет файла
FirewallRules: [{AB1285D2-3EB6-4C50-8984-3162FBF8BE8F}] => (Allow) C:\Program Files (x86)\MEDVED-SOFT\Trans-Manager 12.0\tm_curs.exe => Нет файла
FirewallRules: [{188843F9-D44B-42B0-ABBB-35CC20AFAC09}] => (Allow) C:\Program Files (x86)\MEDVED-SOFT\Trans-Manager 12.0\tm_help_client.exe => Нет файла
FirewallRules: [{CEC52195-A964-4FF2-B6BB-28368386D8B9}] => (Allow) C:\Users\Admin\AppData\Local\Programs\Opera\95.0.4635.84\opera.exe => Нет файла
FirewallRules: [{02697C7D-CC2E-4C5A-B306-E3C965AAB201}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{F51430E1-9362-4157-9F28-C865D905F4C4}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{662F4AA3-012A-4C60-90AF-E87BA117E8A6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{5C17269B-8832-4C77-AA26-CEEFF7255D3C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • roader2000
      Словили шифровальщика FEAR.PW
      Автор roader2000
      Здравствуйте! Словили вирус, требующий денег! Просим о помощи.
      14.02.24.rar
      Сообщение от модератора thyrex Перенесено из Интервью с экспертами
    • Вадим666
      Словил зловреда усложняет работу
      Автор Вадим666
      PUA:Win32/Vigua.A
      PUA:Win32/Packunwan
      PUATorrent:Win32/uTorrent
      PUA:Win32/Softcnapp
       
      Защитник MS обнаружил следующие вирусы (описанные выше) после чего KSC перестал видеть зараженный пк и пк на него зайти не может пароль и логит верные. Просьба помочь в устранении следов заражения и возобновлении коннекта  KES и KSC
      Также в хосте появилась надпись #This file has been replaced with its default version by Kaspersky Lab because of possible infection
       
    • wastezxc
      [РЕШЕНО] Словил майнер
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • oly8889
      словили шифровальщик platishilidrochish@fear.pw.
      Автор oly8889
      1.rar Addition.txt FRST.txt
    • Dima322
      Словили шифровальщика platishilidrochish@fear.pw
      Автор Dima322
      Здравствуйте, предположительно через RDP 02.02 словили вирус на компьютер бухгалтера, все файлы 1с пришли к виду platishilidrochish@fear.pw
      Ниже прикрепил файл с логами из FRST и образцами файла
      Записки о выкупе нет, только зашифрованные данные 1С и всё. 
      Делал проверку через KVRT никаких троянов не обнаружил
      test.7z
      Addition.txt FRST.txt
×
×
  • Создать...