Перейти к содержанию

elpaco-team можно ли самостоятельно решить проблему?

МАН
 Поделиться

Рекомендуемые сообщения

МАН

МАН

Опубликовано
  • Автор
Опубликовано

Сегодня с утра докторвебом было обнаружено повторное заражение. Потом прошелся касперским. В скане FRST упоминается какой-то руткит в службах. Касперский не реагирует.

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)

Опять появились вот такие вещи

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
 

Снимок экрана 2024-07-11 в 5.28.51.png

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано (изменено)

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)

Возможно эффект использования антивирусных сканеров.

 

ыполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

  

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [QLogicSaveSystemInfo] => rundll32.exe qlco10011.dll,QLSaveSystemInfo (Нет файла)
HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!)
2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted
2024-07-09 14:55 - 2024-07-09 14:55 - 000000000 ____D C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
HKU\S-1-5-21-2121173459-1681163310-1468016665-1000\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Перегрузите систему,

и сделайте новые логи FRST, добавьте новые логи для контроля.

+

добавьте лог проверки в Cureit

+

вопрос:

KES установили уже после нового обнаружения в Cureit?

+

вопрос2:

xyz - служебная учетная запись, или учетка, созданная злоумышленниками?

 

Изменено пользователем safety
МАН

МАН

Опубликовано
  • Автор
Опубликовано

HKLM\SYSTEM\CurrentControlSet\Services\458D82F7DB8524A3 <==== ВНИМАНИЕ (Rootkit!) исчезло из логов FRST еще вечером. 

 

Эти строки я пофиксил сам

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ

Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ

 

Fixlog во вложении еще вечерний

FRST текущий

cureit проходил несколько раз 

KES установил после прохода cureit

учетку xyz создал сам

 

 

 

Fixlog.txt FRST.txt Addition.txt cureit(14616).log

safety

safety

Опубликовано
Опубликовано (изменено)

Windef видимо ограничен после установки KES

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ

 

Fixlog отличается от скрипта, который вам надо было выполнить, 

 

Интересовали эти записи: 

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted
2024-07-09 14:55 - 2024-07-09 14:55 - 000000000 ____D C:\Users\amelnikov\AppData\Local\BD3FDDDF-6CAF-3EBC-D9CF-C8DF72D8F78A
2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp

По логу Курейта от 11.07 ничего не найдено.

 

Scan session started 2024/07/11 08:08:51 

 

Total 17422287795 bytes in 39944 files scanned (41797 objects)
Total 39939 files (41593 objects) are clean
There are no infected objects detected
Total 204 files are raised error condition
Scan time is 00:13:19.954

 

Этот инструмент не поможет:

2024-07-08 13:33 - 2024-07-08 13:33 - 000969845 _____ (ShadowExplorer.com ) C:\Users\psisoev\Downloads\ShadowExplorer-0.9-setup.exe

Mimic очищает точки восстановления.

Изменено пользователем safety
МАН

МАН

Опубликовано
  • Автор
Опубликовано

Спасибо за поддержку!

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted     создано мной

2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp    создано мной

 

Текущий проход во вложении

 

 

 

Fixlog.txt FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано
4 минуты назад, МАН сказал:

2024-07-10 08:41 - 2024-07-10 08:45 - 000000000 ____D C:\Users\amelnikov\Desktop\Encrypted     создано мной

2024-07-09 12:15 - 2024-07-09 12:15 - 000000000 ____D C:\tmp    создано мной

ясно, тогда пока все. Успехов в работе над безопасностью ваших устройств.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AntonK2402
      Зашифровались все файлы расширение WORM
      Автор AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
    • AlexPh_Vl
      Шифровальщик зашифровал всё, очень нужна база 1С
      Автор AlexPh_Vl
      Добрый день, продолжение  темы 
      файлы уже были отправлены в вышеуказанной теме.
      Речь об одном и том же компьютере.
      Прислали дешифровщик, но после лечения (удаления вируса) он  выдает ошибки. Как передать данный дешифровщик и  данные для анализа?
    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
    • Greshnick
      secure5555@msgsafe.io
      Автор Greshnick
      4.10.2022 через слабый RDP зашифровали файлики на серверах во всей сети.
      Однозначно можно сказать, что по словарю пытались подобрать пароль к дефолтному Администратору.
      архив с шифрованными файлами прилагаю.
      Так же удалось выцепить само тело вируса. Архив могу выслать.
      Есть шансы на восстановление, или хоронить?
       
      Содержание письма с требованием instructions.txt:
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      g0ei9.rar
    • Denis.A.Shmarov
      Помогите расшифровать.
      Автор Denis.A.Shmarov
      Коллеги добрый ( не очень) день!
       
      Также поймали этого шифровальщика - и идентификатор тот же что и в первом посте Ильдар_T
       
      Вопрос к Ильдар_T    Удалось ли что-то выяснить по сабжу ?
       
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      Сообщение от модератора kmscom Тема перемещена из https://forum.kasperskyclub.ru/topic/238801-pomogite-rasshifrovat/?_report=2928  
×
×
  • Создать...