Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

зловред зашифровал файлы на сервере 1с

o089901
 Поделиться

Рекомендуемые сообщения

o089901

o089901

Опубликовано
Опубликовано (изменено)

после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом

FRST.txt virus.7z

AppData.7z N-Save-XJOZE.7z

Изменено пользователем o089901
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\Администратор\...\Run: [YandexBrowserAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62] => "C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
2025-04-29 05:10 - 2025-04-27 01:05 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe
2025-04-29 04:45 - 2025-04-29 07:01 - 000000000 ____D C:\Users\test\Desktop\mimi
2025-04-29 04:45 - 2023-11-15 13:25 - 000172544 _____ (NirSoft) C:\Users\test\Desktop\CredentialsFileView.exe
2025-04-29 04:45 - 2021-04-28 18:48 - 000614400 _____ (NirSoft) C:\Users\test\Desktop\LostMyPassword.exe
2025-04-29 06:18 - 2025-04-30 07:13 - 000001268 _____ C:\Users\Администратор\AppData\S-6748.bat
2025-04-29 06:18 - 2025-04-30 07:13 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2025-04-29 06:18 - 2025-04-30 07:13 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2025-04-29 05:48 - 2025-04-29 05:59 - 000000047 _____ C:\R_cfg.ini
2025-04-29 05:48 - 2025-04-29 05:48 - 000000038 _____ C:\Users\Администратор\Desktop\R_cfg.ini
2025-04-29 05:47 - 2025-04-27 01:06 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Manualll.exe
2025-04-29 05:11 - 2025-04-30 07:13 - 000003492 _____ C:\Windows\System32\Tasks\Microsoft_Auto_Scheduler
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\users\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000000417 _____ C:\Windows\SysMain.sys
2025-04-29 05:10 - 2025-04-27 01:05 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
обновил скрипт
Ссылка на комментарий
Поделиться на другие сайты
o089901

o089901

Опубликовано
  • Автор
Опубликовано

Извиняюсь я комп перезагрузил и он снова мне начал выдавать сообщения о блокировке файлов, еще раз выполнил сканирование из среды востановления

FRST.txt

а куда скрипт копировать?

 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Запускаем FRST. Далее,

Открываем в браузере данную страницу.

Скрипт копируется в буфер обмена.  И все. браузер закрываем.

В окне FRST нажимаем "Исправить". FRST сам подтянет скрипт из буфера обмена.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Так понимаю, что первый скрипт вы выполнили, нужен будет карантин после первого скрипта, и лог Fixlog.txt

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
2025-04-30 13:28 - 2025-04-30 13:28 - 000004569 _____ C:\Users\Администратор\AppData\AppData.7z
2025-04-30 13:23 - 2025-04-30 13:23 - 000003103 _____ C:\N-Save-XJOZE.7z
2025-04-30 12:04 - 2025-04-30 12:04 - 000003492 _____ C:\Windows\System32\Tasks\Microsoft_Auto_Scheduler
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\users\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000001268 _____ C:\Users\Администратор\AppData\S-6748.bat
2025-04-30 12:04 - 2025-04-30 12:04 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2025-04-30 12:04 - 2025-04-30 12:04 - 000000417 _____ C:\Windows\SysMain.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Это тоже надо сделать:

Цитата

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано
1 минуту назад, o089901 сказал:

перезагрузить?

Скрипт можно  и  в нормальном режиме выполнить. Шифровальщика нет в автозапуске.

Только что, o089901 сказал:

что делать?

Загрузить систему в нормальный режим.

И выполнять все действия по порядку:

вначале выполните все, что написано к первому скрипту.

Ссылка на комментарий
Поделиться на другие сайты
o089901

o089901

Опубликовано
  • Автор
Опубликовано

почему о после первого скрипта поменял имена файлов?

 

 

сейчас перезагрузился, файлы n-save с другим окончанием батники и скрипт на месте как и были

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • komma77
      Зашифровали сервер и копьютеры.
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • F_Aliaksei
      Зашифрованы копьютеры и сервера в домене
      Автор F_Aliaksei
      Добрый день. Зашифрованы компьютеры и сервера в домене.
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE*KOZANOSTRA-HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt Остатки МЦ Фомин.xls.rar СЧЕТ 10 ДЛЯ СПИСАНИЯ_ИТ.xls.rar
×
×
  • Создать...