Перейти к содержанию

Рекомендуемые сообщения

Добрый день.

15.02 вечером, зашифровало все файлы. Комп настроен для удаленного подключения по RDP, включен круглосуточно. Все файлы с расширением .kwx8/

Помогите пож-та.

Лог сканирования KVRT во вложении.

report_2025.02.17_15.55.29.klr.rar

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, orpham сказал:

я всё прочитал. дальше что от меня требуется?

Выполнить и выложить то, что там написано.

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, orpham сказал:

Лог сканирования KVRT во вложении.

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

17 часов назад, safety сказал:

 

Добрый день.

 

Архив во вложении.

bin-1.3.1.rar

 

22 часа назад, Mark D. Pearlstone сказал:

Выполнить и выложить то, что там написано.

 

Addition.txt bin-1.3.1.rar FRST.txt зашифр файлы.rar

Ссылка на комментарий
Поделиться на другие сайты

Цитата

Если папка C:\Users\Admin\Desktop\bin-1.3.1\ сохранилась в системе, заархивируйте с паролем virus, добавьте в ваше сообщени архив.

https://www.virustotal.com/gui/file/9d7e2a9783baf1a20472940d4d45534321b89434ed0cc459aa160b0fcb2c9247

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1002\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1003\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1004\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1005\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1006\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1007\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1008\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1009\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1010\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1011\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1012\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1013\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKU\S-1-5-21-2391199703-2122386062-2609391897-1014\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [cdjkkeofanojcdolaakkckkmfcjejlij]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
2025-02-15 19:28 - 2025-02-15 19:28 - 006052662 _____ C:\ProgramData\758EB317B8F896C9640001A9C003381E.bmp
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\Users\Admin\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\Microsoft\Windows\Start Menu\#HowToRecover.txt
2025-02-15 19:18 - 2025-02-15 19:18 - 000000442 _____ C:\ProgramData\#HowToRecover.txt
2025-02-15 19:12 - 2025-02-15 19:12 - 000000442 _____ C:\Program Files (x86)\#HowToRecover.txt
2025-02-15 19:09 - 2025-02-15 19:09 - 000000442 _____ C:\Users\#HowToRecover.txt
2025-02-15 19:08 - 2025-02-15 19:18 - 000000000 ____D C:\Users\Admin\Desktop\bin-1.3.1
2025-02-15 19:08 - 2025-02-15 19:08 - 000000442 _____ C:\#HowToRecover.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

еще вопрос. получается зараженный комп надо снова подключить к интернету (как обнаружил проблему - отключил от интернета), правильно?

 

Fixlog.txt

ссылка на скачивание:  удалена

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Да, от интернета имеет смысл изолировать устройство, пока не будут завершены восстановительные работы.

+

Проверьте ЛС.

+

Расшифровка файлов по данному типу невозможна без приватного ключа.

 

теперь, когда ваши данные были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Егоррр
      Автор Егоррр
      Решил на свою голову скачать книгу в электронном виде. Теперь не могу избавиться. Отчет предоставлен от программы Farbar Recovery Scan Tool. Компьютер страшно тормозит. Делать что либо не возможно. С горе пополам скачал kaspersky tools и Dr.web. Удалить не получилось 

      отчет.rar
    • Maksum
      Автор Maksum
      Скачал вирус в папку temp и %temp%
      Через несколько дней появилось несколько троянов.
      Во время игры, игра свернулась и вышло окно от некого хакера и было написано напиши мне я быстро перезагрузил пк, вошёл в безопасный режим  и начал чистить его с помощью Dr web как очистил трояны ноутбук начал лагать но без троянов чуть позже перепроверил им же оказалось опять появились те же трояны. Теперь даже боюсь лишний раз ноут включать(
      Скиньте пожалуйста скрипт для avz.
      Мой виндовс: 10 домашняя версия для 1 языка 64 бит
      Вот файл с троянами:
      Fitnes.rar
    • RedKaroliner
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
    • GLORYX
      Автор GLORYX
      не знаю как но где словил троян в диспечере задай просто находится пустой проц с аватаркой шестеренки пробовал через все програму успехом не увенчалось.
    • Kultuch
      Автор Kultuch
      Здравствуйте! 
       
      После скачивания файла с неизвестного источника обнаружились два вируса. Лечение не помогает, Kaspersky Virus Removal Tool также не помог.

      CollectionLog-2025.03.18-15.27.zip
×
×
  • Создать...