Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

Лог собирали в режиме восстановления системы. Почему? В нормальном режиме система не загружается?

Ссылка на сообщение
Поделиться на другие сайты

Не пробовал, если честно - сразу со среды восстановления снял лог. 

Сейчас попробую скинуть с нормального режима

 

 

Лог с нормального режима

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, расшифровки этого типа вымогателя нет.

 

Политику IPSec настраивали самостоятельно?

Цитата

IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)

 

Помощь в очистке следов вымогателя нужна или будет переустановка системы?
 

Ссылка на сообщение
Поделиться на другие сайты

 IPSec не настраивал

Хотелось бы попробовать восстановить действующую систему, или хотя бы чистку файлов провести, чтобы восстановить с помощьюacronis  

 

 

Ссылка на сообщение
Поделиться на другие сайты

С помощью Acronis вы ведь восстанавливаете полный образ системы. При этом очистка текущего состояния не нужна.

Под "чисткой файлов" что вы подразумеваете? Расшифровку? Её нет, я ответил выше.

Ссылка на сообщение
Поделиться на другие сайты

файлы acronis не запускаются почему-то...

пишет: "это не последний том архива"

там все файлы были с добавлением .NESCELKAIEBALOM

вручную переименовал - не помогло... Архив акрониса не открывается...

непонятно как файл акрониса "оживить", чтобы восстановление системы сделать....

 

 

Ссылка на сообщение
Поделиться на другие сайты

А, теперь понятно. Ваши бекапы оказались тоже зашифрованными. Простое переименование, конечно, не поможет.

Впредь вам наука, бекапы должны храниться в защищенном месте.

 

Пароли администраторов смените, скорее всего были взломаны.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {0df94d8d-4816-11e4-afc6-806e6f6e6963} - D:\Bin\ASSETUP.exe
    HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a5292-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
    HKU\S-1-5-21-1135283831-2634933048-1839365936-1000\...\MountPoints2: {a21a52a1-e7df-11ec-b6cb-e03f49844a65} - F:\Autorun.exe
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2022-06-10]
    ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (Нет файла)
    IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c9981da2-59d8-48f6-a90a-c53153f38f98} <==== ВНИМАНИЕ (Ограничение - IP)
    2024-04-07 22:35 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\Desktop\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
    2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\Users\ПЧ\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
    2024-04-07 22:16 - 2024-04-07 22:35 - 000002085 _____ C:\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
    2024-04-08 01:02 - 2021-12-05 05:29 - 000000000 __SHD C:\Users\ПЧ\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
    FirewallRules: [{AB839019-4356-406A-A4B0-9911D7D833C9}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
    FirewallRules: [{AE45D87E-EF01-41C3-BBBD-85CB53A80E91}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
    FirewallRules: [{62D452AF-7A82-4492-9966-DE4AA379D967}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
    FirewallRules: [{40480F95-0A6A-458D-85B3-72625D4D251C}] => (Allow) C:\Program Files\Peer2Profit\Peer2Profit.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Дополнительно:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Исправьте по возможности:

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
 

Так ли страшен контроль учетных записей (UAC)?

 

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
 

Если решите продолжать работать на семерке, обязательно установите все перечисленные хотфиксы (особенно HotFix KB4012212), иначе очередной взлом не заставит себя ждать.

 

AnyDesk v.ad 7.0.14 Внимание! Скачать обновления
TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления
VMware Workstation v.10.0.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления
WinRAR 5.21 (32-разрядная) v.5.21.0 Внимание! Скачать обновления
Radmin Server 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.4 v.3.41.0000 Внимание! Программа удаленного доступа!
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Доброго дня! 

придется похоже переустанавливать систему - не получается архив акрониса запустить 

пишет "это не последний том архива"....

вариантов для "оживления" архива акрониса больше нет?

или можно еще что-то сделать?

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Anix
      От Anix
      Отключил винт и подцепил его к виртуалке,
      нашёл лог работы заразы.
      Может поможет в создании лекарства
      temp.rar
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • Serg1619
      От Serg1619
      С утра на сервере все значки стали тектостовыми файлами с расширением abdula.a@aol.com,при открытии фаилой везде открывается блокном с требованием написать им на почту для того чтоб разблокировать.
      Как то можно расшифровать все файлы?или все уже безнадежно?
×
×
  • Создать...