Перейти к содержанию

Рекомендуемые сообщения

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

 

Start::
() [Файл не подписан] C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe <2>
HKLM-x32\...\Run: [uu.exe] => C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe [102912 2020-09-08] () [Файл не подписан]
HKLM\...\Run: [svhostss.exe] => C:\Users\systema$\AppData\Local\Decryption_INFO.txt [927 2024-06-28] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
HKU\S-1-5-21-1058425139-1518313359-263183337-1000\...\MountPoints2: {5866e2c9-f862-11e6-8f8a-806e6f6e6963} - E:\AutoRun\AutoRunX\AutoRunX.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\001\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\002\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2024-06-28 00:43 - 2024-06-28 02:49 - 000000000 ____D C:\Users\systema$\AppData\Roaming\Process Hacker 2
2024-06-28 00:41 - 2024-06-28 02:49 - 000000000 ____D C:\Program Files\Process Hacker 2
2024-06-28 00:41 - 2024-06-28 00:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2024-06-28 03:13 - 2022-06-15 03:00 - 000000000 __SHD C:\Users\systema$\AppData\Local\B030C116-A730-AE91-0CE4-073B07B52D85
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Папку C:\FRST\Quarantine добавьте в архив с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание архива в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

по результату очистки в Fixlog:

этот файл проверьте на Virustotal.com и дайте ссылку здесь на линк проверки.

Цитата

C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Z0BAZwxx\uu.exe

 

 

Fixlog.txt

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
2 hours ago, Раис888888 said:

5b5bcca2297610db487a26d811cf01ee78128c91c9ba9bf838a24924e0e20e6b

Kaspersky Backdoor.Win32.Androm.lctq

файл можно  вручную удалить, он был исключен из автозапуска.

 

Для контроля очистки:

 

Добавьте дополнительно образ автозапуска системы в uVS.
 

Quote

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на сообщение
Поделиться на другие сайты

По очистке в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

;uVS v4.15.7v [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\1CV8\8.3.20.1613\BIN\HTMLUI.DLL
zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
dirzooex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
deldirex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
apply
czoo
restart

После перезагрузки:

Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ автозапуска для контроля.

Возможно, какой то хитрый бэкдор, маскирует свой путь.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE [2152]

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

по логу выполнения скрипта:

 

Цитата

Копирование файла в Zoo: \\?\C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
Файл скопирован в ZOO: D:\ВОССТАНОВЛ\НОВЫЙ КАТАЛОГ\ZOO\UU.EXE._DCC4F2724D5FBEA767435CD6D9CD7788E1EB4C1F
dirzooex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
Копирование файла в Zoo: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\uu.exe
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX\UU.EXE
deldirex %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\Z0BAZWXX
--------------------------------------------------------
Удалено файлов: 1 из 1

 

бэкдор зачистился, в новом образе его уже нет.

 

Выполните рекомендации по защите системы от новых атак шифровальщиков.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • dtropinin
      От dtropinin
      Здравствуйте специалисты.
      вчера увидел активность у себя на компе(ОС Виндоус 7). в итоге через полчаса понял, что у меня файлам добавляется расширение "ELPACO-team".
      выключил быстро комп.
      в итоге - диск C - частично зашифрованы файлы, в основном архивы, и еще какие-то файлы, в том числе и очень нужные.
      Диск D - практически весь диск зашифрован. но если каталогов вложенных уровня 4 - то далее еще не зашифровано.
      Диск E - вообще не пострадал.
      Диск М - вообще не пострадал.
      На этом же компе у меня крутится несколько гостевых операционок на ВМВаре.
      Одна из них - Win7.
      На указанных машинах открыты RDP. Доступ к ним из интернета настроен через фаервол. Фаервол принимает входящие по портам с номерами 5000x и далее он транслирует соединения на стандартные порты 3389 на эти компы.
      Диски все вынул из компа. Начал анализировать. Все плохо, на расшифровку не надеюсь.
      Но на гостевой операционке я нашел логи, как месяц назад была запущена служба(лог от 13 июня):
      ---------------------------------------
      В системе установлена служба.
      Имя службы:  KProcessHacker3
      Имя файла службы:  C:\Program Files\Process Hacker 2\kprocesshacker.sys
      Тип службы:  драйвер режима ядра
      Тип запуска службы:  Вручную
      Учетная запись службы: 
      ---------------------------------------
      далее я нашел  на диске и Process Hacker 2, и Advanced IP Scanner 2, и MIMIK1 с результатами в виде моих паролей. Так же есть батники, которые должны были хозяйничать на этой системе
       
      Если специалистам интересен образ VMware, который у меня - могу сжать его и выслать вам для разборов.
      так же могу отдать все образы с жестких дисков. в бэкапах можно будет найти сопоставление незашифрованных и зашифрованных файлов.
       
       
       
       
       

    • KIART
      От KIART
      Добрый день! 11.07.24 мой сервер атаковал вирус-шифровальщик. При включении сервера появляется текст от злоумышленников с требованием перевести биткоины в замен на ключ для расшифровки. Сейчас необходимый файл бэкап вяглядит так: Resto.bak.gz.ELPACO-team. Обращался в две организации, которые занимаются расшифровкой, обе ответили что расшифровать не могут, тип шифрования новый, решения пока нет. Подскажите, сталкивался ли кто-то недавно с такой проблемой, может уже есть неопубликованное решение? 
    • Алексей1977
      От Алексей1977
      Добрый день! В принципе в заголовке все описал. Хотел поинтересоваться, был ли у кого положительный опыт в расшифровке этих файлов?
    • Алексей Красный Ключ
      От Алексей Красный Ключ
      Добрый день!
      Шифровальщик зашифровал файлы с расширением ELPACO-team
      Определить шифровальщик не получается, в связи с чем невозможно определить существует ли дешифровщик к нему.
      Нужна помощь! 
      Decryption_INFO.zip
    • zummer900
      От zummer900
      Добрый день.
      В ночь и нас накрыли данные ребята. 
      Прекрасно понимаю что расшифровать нельзя. Зашифровали все .exe файлы. То есть система под снос. 
       
      Вопрос как понять откуда пошло ?
      Как вычислить на других машинах ?
       
       
      парк тачек большой. По RDP на ружу смотрела пару машин. Но не с одной из них доступа к серверам 1с не было, но он тоже лег. Внутри локалки в 1с ходят по RDP....думаю в этом и причина. 
      Зашифрованы и сетевые папки по самбе. Файловая помойка на линуксе OMV. На ней поднята самба и расшарены файлы.
       
      Addition.txt Decryption_INFO.txt FRST.txt filevirus.rar
×
×
  • Создать...