Перейти к содержанию

Рекомендуемые сообщения

Доброго дня.
Постигла неприятная участь в виде шифровальщика decrutor 1.0
Утилита Farbar Recovery Scan Tool не отрабатывает на целевом компьютере, при запуске просто зависает. Проверили систему AVZ, сам вирус отловить не удалось. Зато нашлись файлы от его работы в профиле пользователя, под которым видимо все и началось. Шифрованные файлы и файл readme прилагаются в архиве files. Также отдельным архивом decrutor_files прилагаются найденные файлы из папки документы профиля пользователя-виновника. Пароль на архивы virus

Буду очень признателен за помощь в восстановлении информации.

files.zip decrutor_files.zip

Ссылка на комментарий
Поделиться на другие сайты

Добавьте пожалуйста, логи FRST из зашифрованной системы из безопасного режима системы.

Так же уточните, когда было шифрование.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, safety сказал:

Добавьте пожалуйста, логи FRST из зашифрованной системы из безопасного режима системы.

Так же уточните, когда было шифрование.

В данный момент не имею физического доступа к железу. В обычном режиме FRST виснет на запуске.

Про шифрование тоже со слов пользователя скорее всего дня 3 назад.

Изменено пользователем zshurik
добавление ответа
Ссылка на комментарий
Поделиться на другие сайты

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на комментарий
Поделиться на другие сайты

25 минут назад, safety сказал:

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Архив прилагаю. Запускал start_x64.exe

AVERON_2024-07-30_15-28-05_v4.99.0v x64.7z

Изменено пользователем zshurik
Ссылка на комментарий
Поделиться на другие сайты

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.


 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\DRUDENKO\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delall %SystemDrive%\USERS\LBELOUS\DESKTOP\GOOGLE CHROME [157499].EXE
apply

QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Ссылка на комментарий
Поделиться на другие сайты

Пробуйте еще раз скачать FRST для вашей x64 системы.

после запуска программы дождитесь, пока программа проверит обновления и будет готова к использованию.

Затем нажимаем Scan или Сканировать, и ждем завершения этого процесса.

Если будет успешен, добавить файлы FRST.txt и Addition.txt в ваше сообщение.

Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, safety сказал:

Пробуйте еще раз скачать FRST для вашей x64 системы.

после запуска программы дождитесь, пока программа проверит обновления и будет готова к использованию.

Затем нажимаем Scan или Сканировать, и ждем завершения этого процесса.

Если будет успешен, добавить файлы FRST.txt и Addition.txt в ваше сообщение.

Еще раз перекачал FRST
Запуск от имени админа, далее проверка обновлений и все, зависание
419515888_.png.560e3ab3e5266c8f6b59e653df592be4.png

И в процессах никаких телодвижений по утилите

1068744569_.thumb.png.987c9aa1696f78b26be25462d7c2aca9.png

Изменено пользователем zshurik
Ссылка на комментарий
Поделиться на другие сайты

Все таки удалось нетривиальным способом запустить утилиту FRST на целевой системе.

Может кому пригодится, у кого так же будет зависать:

создал нового пользователя, дал ему админские права и в текущей сессии администратора запустил утилиту от имени вновь созданного пользователя. Все отработало.

 

Во вложении файлы работы утилиты.

Addition.txt FRST.txt

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

по логу FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

2024-07-26 15:30 - 2023-11-17 12:55 - 000151552 ____N C:\Users\buhgalter\Documents\LB3.exe
2024-07-26 15:30 - 2023-11-17 12:55 - 000147456 ____N C:\Users\buhgalter\Documents\LB3_pass.exe
2024-07-26 15:30 - 2022-03-08 09:10 - 000000285 ____N C:\Users\buhgalter\Documents\1c.cmd
2024-07-26 15:30 - 2020-11-13 13:30 - 000003611 ____N C:\Users\buhgalter\Documents\closeapps.bat
2024-07-26 15:30 - 2019-02-14 18:00 - 000000273 ____N C:\Users\buhgalter\Documents\backup.bat
2024-07-26 15:30 - 2019-02-14 18:00 - 000000063 ____N C:\Users\buhgalter\Documents\LogDelete.bat
2024-07-26 15:30 - 2019-01-30 09:41 - 000128000 ____N C:\Users\buhgalter\Documents\NS v.222.exe
2024-07-26 15:30 - 2018-06-09 11:01 - 000000028 ____N C:\Users\buhgalter\Documents\Shadow.bat
2024-07-26 15:31 - 2024-07-26 15:31 - 000002225 ____C C:\j8mzhi9uZ.README.txt
AutoConfigURL: [S-1-5-21-251471679-1498773680-3435766367-1004] => hxxp://stupdates.com/76ofrx/gGL.pac <==== ВНИМАНИЕ

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

16 минут назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST

Не нахожу такой файл. Соответственно утилита ругается на отсутствие

1884227118_.png.59549fc4033315d122c243939d0ac0d0.png

7 минут назад, safety сказал:

+ вопрос:

прокси ващ?

AutoConfigURL: [S-1-5-21-251471679-1498773680-3435766367-1004] => hxxp://stupdates.com/76ofrx/gGL.pac <==== ВНИМАНИЕ

 

Нет

Ссылка на комментарий
Поделиться на другие сайты

14 минут назад, zshurik сказал:

Не нахожу такой файл. Соответственно утилита ругается на отсутствие

просто копируем скрипт в бцфер обмена, без  создания fixlist.txt

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

(в скрипт добавил строку с AutoConfig)

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • umid
      От umid
      Добрый день!
      Поймали шифровальщика. Прошу помощи.
      Даже нет предположений откуда его схватили.
      Desktop.rar 1Desktop.rar
    • IrinaC
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
    • yarosvent
      От yarosvent
      Доброго,
      просим помочь расшифровать данные
    • Lexarr
      От Lexarr
      Недавно обнаружил лаги на компе , решил скачать антивирус , провериться , так у меня все сайты с антивирусами сразу закрывались , диспетчер задач тоже закрывался , если заходить в системные папки «проводник» тоже закрывался , загрузил с флешки CureIt , он нашел майнер , удалил его , после перезагрузки майнер вернулся обратно 

      CollectionLog-2024.12.16-17.06.zip
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
×
×
  • Создать...