Перейти к содержанию

словил шифровальщик .deep

o.v.burcev
 Поделиться

Рекомендуемые сообщения

o.v.burcev

o.v.burcev

Опубликовано
Опубликовано

Добрый вечер.

Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить

 

Пароль на архив с файлами вируса - virus

virus.zip файлы FRST.7z File1.7z File2.7z

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки нет.

 

Чистка мусора в системе, в т.ч. активного шифровальщика, нужна или система под переустановку?

o.v.burcev

o.v.burcev

Опубликовано
  • Автор
Опубликовано

под переустановку, там ничего живого не осталось

o.v.burcev

o.v.burcev

Опубликовано
  • Автор
Опубликовано

Коллеги, а вообще если не трудно, пришлите как почистить систему в текущем виде, надо оставить небольшой шанс, что получится хоть что то восстановить

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

Admin (S-1-5-21-4020617628-2862444755-50925135-1000 - Administrator - Enabled) => C:\Users\Admin
sa (S-1-5-21-4020617628-2862444755-50925135-500 - Administrator - Enabled) => C:\Users\sa

обе учетки Ваши?
 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\Run: [sql] => C:\Users\Admin\AppData\Local\sql.exe [57344 2023-10-19] () [Файл не подписан]
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {0448cf28-cd7f-11ea-b8db-bcaec5d6fa72} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {0448cf30-cd7f-11ea-b8db-bcaec5d6fa72} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {1932c27f-2471-11e9-8716-bcaec5d6fa72} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {4fb24a7b-14b4-11e9-9c77-bcaec5d6fa72} - E:\HiSuiteDownLoader.exe
IFEO\taskmgr.exe: [Debugger] Hotkey Disabled
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe [2023-10-19] () [Файл не подписан]
2023-11-11 01:21 - 2023-11-11 01:21 - 000005520 _____ C:\Users\Public\Desktop\info.hta
2023-11-11 01:21 - 2023-11-11 01:21 - 000005520 _____ C:\Users\Admin\Desktop\info.hta
2023-11-11 01:21 - 2023-11-11 01:21 - 000000164 _____ C:\Users\Public\Desktop\info.txt
2023-11-11 01:21 - 2023-11-11 01:21 - 000000164 _____ C:\Users\Admin\Desktop\info.txt
2023-11-10 23:53 - 2023-10-19 13:19 - 000057344 _____ C:\Users\Admin\AppData\Local\sql.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
FirewallRules: [{8CB7F7D2-A6C8-4599-A8DC-8BA67B404F73}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{1AC34BCF-1743-49C6-B903-030E726EA68E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{5BD42CDD-E662-42EB-B1BD-081860E95324}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{89FD56FC-16FF-487D-892E-5D7D3A25A37F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B20CD685-2B64-4D40-9813-B6FD7DFCF6F9}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4156904E-6F83-4B3D-93EE-4556532335E9}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{2CC74151-99B2-4051-BBB4-AFA488271530}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{ED38BA01-7B06-4519-946C-EE49CE6118DE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{65FC92F7-FEF6-4A49-BC3C-59CBDDFB3982}] => (Allow) C:\Users\Admin\AppData\Local\Programs\Opera\88.0.4412.74\opera.exe => Нет файла
FirewallRules: [{AB1285D2-3EB6-4C50-8984-3162FBF8BE8F}] => (Allow) C:\Program Files (x86)\MEDVED-SOFT\Trans-Manager 12.0\tm_curs.exe => Нет файла
FirewallRules: [{188843F9-D44B-42B0-ABBB-35CC20AFAC09}] => (Allow) C:\Program Files (x86)\MEDVED-SOFT\Trans-Manager 12.0\tm_help_client.exe => Нет файла
FirewallRules: [{CEC52195-A964-4FF2-B6BB-28368386D8B9}] => (Allow) C:\Users\Admin\AppData\Local\Programs\Opera\95.0.4635.84\opera.exe => Нет файла
FirewallRules: [{02697C7D-CC2E-4C5A-B306-E3C965AAB201}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{F51430E1-9362-4157-9F28-C865D905F4C4}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{662F4AA3-012A-4C60-90AF-E87BA117E8A6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{5C17269B-8832-4C77-AA26-CEEFF7255D3C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Yorock
      Зашифрованы некоторые расширения файлов
      Автор Yorock
      Вроде как шифрование сделано через nev.exe
      Addition.txt FRST.txt virus.zip
    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • morose
      [Расшифровано]Помогите дешифровать id[36121455-3335].[Hunter-X@tuta.io]
      Автор morose
      Вы писали: @ant1tr3nd, Ваши файлы могут быть расшифрованы, напишите в ответ, если расшифровка еще актуальна для вас.  
      _SAM9939.jpg.id[36121455-3335].[Hunter-X@tuta.io].zip
    • Theodor
      Шифровальщик
      Автор Theodor
      Шифровальщик Banta переписал присоединенный USB HDD 300ГБ за две-три минуты. Диски внутри машины размером в 1Тб переписаны за несколько минут. Файлы размером 5-100 ГБ не могли полностью переписаться за это время. Вероятно он работает только с оглавлением. Все файлы увеличены на разную величину от нескольких байт до сотен килобайт. В диспетчере задач не было видно никакого подозрительного приложения. Работали стандартные системные приложения. Т.е. наверное работал скрипт из стандартных системных команд. В корне каждого диска остался скрипт с именем info.hta который высвечивает на экране объявление о вымогательстве. Касперский не нашел ничего подозрительного. Другие антивирусы показали на троян в java update и указали на файлы скриптов в корне дисков.
       
      Из включенных антивирусов на момент заражения был только стандартный Microsoft. Поражены машины только с удаленным доступом по RDP.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...