Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/

Помогите пож-та.

Лог сканирования KVRT во вложении.

report_2025.02.17_15.55.29.klr.rar

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, orpham сказал:

я всё прочитал. дальше что от меня требуется?

Выполнить и выложить то, что там написано.

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, orpham сказал:

Лог сканирования KVRT во вложении.

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

17 часов назад, safety сказал:

 

Добрый день.

 

Архив во вложении.

bin-1.3.1.rar

 

22 часа назад, Mark D. Pearlstone сказал:

Выполнить и выложить то, что там написано.

 

Addition.txt bin-1.3.1.rar FRST.txt зашифр файлы.rar

Ссылка на комментарий
Поделиться на другие сайты

Цитата

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

https://www.virustotal.com/gui/file/9d7e2a9783baf1a20472940d4d45534321b89434ed0cc459aa160b0fcb2c9247

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1003\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1004\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1005\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1006\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1007\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1008\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1009\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1010\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1011\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1012\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1013\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1014\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [cdjkkeofanojcdolaakkckkmfcjejlij]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
2025-02-15 19:28 - 2025-02-15 19:28 - 006052662 _____ C:\ProgramData\758EB317B8F896C9640001A9C003381E.bmp
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\Users\Admin\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\#HowToRecover.txt
2025-02-15 19:12 - 2025-02-15 19:12 - 000000442 _____ C:\Program Files (x86)\#HowToRecover.txt
2025-02-15 19:09 - 2025-02-15 19:09 - 000000442 _____ C:\Users\#HowToRecover.txt
2025-02-15 19:08 - 2025-02-15 19:18 - 000000000 ____D C:\Users\Admin\Desktop\bin-1.3.1
2025-02-15 19:08 - 2025-02-15 19:08 - 000000442 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

еще вопрос. получается зараженный комп надо снова подключить к интернету (как обнаружил проблему - отключил от интернета), правильно?

 

Fixlog.txt

ссылка на скачивание:  удалена

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Да, от интернета имеет смысл изолировать устройство, пока не будут завершены восстановительные работы.

+

Проверьте ЛС.

+

Расшифровка файлов по данному типу невозможна без приватного ключа.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mrolya
      Автор mrolya
      Не удаляется троян HEUR:Trojan.Multi.Powedon.d, касперский находит его, делает лечение и ребутает комп, после ребута запускает сканирование и троян снова появляется, в общем все идет по кругу.
       

      CollectionLog-2025.04.21-11.37.zip
    • RedKaroliner
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
    • Maksum
      Автор Maksum
      Скачал вирус в папку temp и %temp%
      Через несколько дней появилось несколько троянов.
      Во время игры, игра свернулась и вышло окно от некого хакера и было написано напиши мне я быстро перезагрузил пк, вошёл в безопасный режим  и начал чистить его с помощью Dr web как очистил трояны ноутбук начал лагать но без троянов чуть позже перепроверил им же оказалось опять появились те же трояны. Теперь даже боюсь лишний раз ноут включать(
      Скиньте пожалуйста скрипт для avz.
      Мой виндовс: 10 домашняя версия для 1 языка 64 бит
      Вот файл с троянами:
      Fitnes.rar
    • Егоррр
      Автор Егоррр
      Решил на свою голову скачать книгу в электронном виде. Теперь не могу избавиться. Отчет предоставлен от программы Farbar Recovery Scan Tool. Компьютер страшно тормозит. Делать что либо не возможно. С горе пополам скачал kaspersky tools и Dr.web. Удалить не получилось 

      отчет.rar
    • Serhio0606
      Автор Serhio0606
      Здравствуйте, столкнулся с такой проблемой. На компьютере подхватил вирус, предполагаю, что майнер. Он маскируется под проводник explorer.exe и его не видит ни один антивирус, когда нажимаю расположение файла, переходит на обыкновенный проводник, но это вирус: во первых при всех закрытых приложениях (и в трее) по какой-то причине он всегда стабильно загружает процессор на 30% и конечно же при входе в диспетчер задач резко перестаёт, также я читал, что в диспетчере задач не может быть более одного проводника, а у меня их два. При закрытии задачи или перезагрузки компьютер полностью перезагружается (мгновенно выключается). Но по видимому он не самый мощный (вирус) и он не умеет как более продвинутые закрывать диспетчер задач через время, и можно пользоваться компьютером с открытым диспетчером. Так же ещё после него почему-то не всегда запускается, видимо совсем не качественный. Но при открытии диспетчера задач, во вкладке сведения, он не появляется в состоянии приостановлен, как делают некоторые майнеры, а видимо просто по тихому прекращает работать, но остаётся активным съедая максимум 1% цп. Но при всех нюансах он никаким пока, что образом не исчез, удалился и т.п. Пробовал кучу разных антивирусов с разными функциями и не один его не видит. Прошу помочь, но думаю уже просто не морочиться и снести винду.


      CollectionLog-2025.04.06-22.46.zip
×
×
  • Создать...