Перейти к содержанию

зловред зашифровал файлы на сервере 1с

o089901
 Поделиться

Рекомендуемые сообщения

o089901

o089901

Опубликовано
Опубликовано (изменено)

после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом

FRST.txt virus.7z

AppData.7z N-Save-XJOZE.7z

Изменено пользователем o089901
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\Администратор\...\Run: [YandexBrowserAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62] => "C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
2025-04-29 05:10 - 2025-04-27 01:05 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe
2025-04-29 04:45 - 2025-04-29 07:01 - 000000000 ____D C:\Users\test\Desktop\mimi
2025-04-29 04:45 - 2023-11-15 13:25 - 000172544 _____ (NirSoft) C:\Users\test\Desktop\CredentialsFileView.exe
2025-04-29 04:45 - 2021-04-28 18:48 - 000614400 _____ (NirSoft) C:\Users\test\Desktop\LostMyPassword.exe
2025-04-29 06:18 - 2025-04-30 07:13 - 000001268 _____ C:\Users\Администратор\AppData\S-6748.bat
2025-04-29 06:18 - 2025-04-30 07:13 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2025-04-29 06:18 - 2025-04-30 07:13 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2025-04-29 05:48 - 2025-04-29 05:59 - 000000047 _____ C:\R_cfg.ini
2025-04-29 05:48 - 2025-04-29 05:48 - 000000038 _____ C:\Users\Администратор\Desktop\R_cfg.ini
2025-04-29 05:47 - 2025-04-27 01:06 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Manualll.exe
2025-04-29 05:11 - 2025-04-30 07:13 - 000003492 _____ C:\Windows\System32\Tasks\Microsoft_Auto_Scheduler
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\users\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000000417 _____ C:\Windows\SysMain.sys
2025-04-29 05:10 - 2025-04-27 01:05 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
обновил скрипт
o089901

o089901

Опубликовано
  • Автор
Опубликовано

Извиняюсь я комп перезагрузил и он снова мне начал выдавать сообщения о блокировке файлов, еще раз выполнил сканирование из среды востановления

FRST.txt

а куда скрипт копировать?

 

safety

safety

Опубликовано
Опубликовано (изменено)

Запускаем FRST. Далее,

Открываем в браузере данную страницу.

Скрипт копируется в буфер обмена.  И все. браузер закрываем.

В окне FRST нажимаем "Исправить". FRST сам подтянет скрипт из буфера обмена.

Изменено пользователем safety
o089901

o089901

Опубликовано
  • Автор
Опубликовано

смотрите в последнем файле FRST файлы с другим именем

 

скрипт сработает?

 

safety

safety

Опубликовано
Опубликовано

Так понимаю, что первый скрипт вы выполнили, нужен будет карантин после первого скрипта, и лог Fixlog.txt

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
2025-04-30 13:28 - 2025-04-30 13:28 - 000004569 _____ C:\Users\Администратор\AppData\AppData.7z
2025-04-30 13:23 - 2025-04-30 13:23 - 000003103 _____ C:\N-Save-XJOZE.7z
2025-04-30 12:04 - 2025-04-30 12:04 - 000003492 _____ C:\Windows\System32\Tasks\Microsoft_Auto_Scheduler
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\users\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000001268 _____ C:\Users\Администратор\AppData\S-6748.bat
2025-04-30 12:04 - 2025-04-30 12:04 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2025-04-30 12:04 - 2025-04-30 12:04 - 000000417 _____ C:\Windows\SysMain.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

o089901

o089901

Опубликовано
  • Автор
Опубликовано (изменено)

после первого скрипта

Fixlog.txt

Изменено пользователем o089901
safety

safety

Опубликовано
Опубликовано

Это тоже надо сделать:

Цитата

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

safety

safety

Опубликовано
Опубликовано
5 минут назад, o089901 сказал:

после первого скрипта

Скрипт как я вижу не был выполнен, лога выполнения нет. только текст скрипта.

safety

safety

Опубликовано
Опубликовано
1 минуту назад, o089901 сказал:

перезагрузить?

Скрипт можно  и  в нормальном режиме выполнить. Шифровальщика нет в автозапуске.

Только что, o089901 сказал:

что делать?

Загрузить систему в нормальный режим.

И выполнять все действия по порядку:

вначале выполните все, что написано к первому скрипту.

o089901

o089901

Опубликовано
  • Автор
Опубликовано

почему о после первого скрипта поменял имена файлов?

 

 

сейчас перезагрузился, файлы n-save с другим окончанием батники и скрипт на месте как и были

 

safety

safety

Опубликовано
Опубликовано

Выполните первый скрипт, пока не вижу вообще выполнения рекомендаций с вашей стороны.

o089901

o089901

Опубликовано
  • Автор
Опубликовано

сейчас выполнил сервак перезагрузился

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • komma77
      Зашифровали сервер и копьютеры.
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...