Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом

FRST.txt virus.7z

AppData.7z N-Save-XJOZE.7z

Изменено пользователем o089901
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\Администратор\...\Run: [YandexBrowserAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62] => "C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
2025-04-29 05:10 - 2025-04-27 01:05 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe
2025-04-29 04:45 - 2025-04-29 07:01 - 000000000 ____D C:\Users\test\Desktop\mimi
2025-04-29 04:45 - 2023-11-15 13:25 - 000172544 _____ (NirSoft) C:\Users\test\Desktop\CredentialsFileView.exe
2025-04-29 04:45 - 2021-04-28 18:48 - 000614400 _____ (NirSoft) C:\Users\test\Desktop\LostMyPassword.exe
2025-04-29 06:18 - 2025-04-30 07:13 - 000001268 _____ C:\Users\Администратор\AppData\S-6748.bat
2025-04-29 06:18 - 2025-04-30 07:13 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2025-04-29 06:18 - 2025-04-30 07:13 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2025-04-29 05:48 - 2025-04-29 05:59 - 000000047 _____ C:\R_cfg.ini
2025-04-29 05:48 - 2025-04-29 05:48 - 000000038 _____ C:\Users\Администратор\Desktop\R_cfg.ini
2025-04-29 05:47 - 2025-04-27 01:06 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Manualll.exe
2025-04-29 05:11 - 2025-04-30 07:13 - 000003492 _____ C:\Windows\System32\Tasks\Microsoft_Auto_Scheduler
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\users\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000000417 _____ C:\Windows\SysMain.sys
2025-04-29 05:10 - 2025-04-27 01:05 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
обновил скрипт
Опубликовано

Извиняюсь я комп перезагрузил и он снова мне начал выдавать сообщения о блокировке файлов, еще раз выполнил сканирование из среды востановления

FRST.txt

а куда скрипт копировать?

 

Опубликовано (изменено)

Запускаем FRST. Далее,

Открываем в браузере данную страницу.

Скрипт копируется в буфер обмена.  И все. браузер закрываем.

В окне FRST нажимаем "Исправить". FRST сам подтянет скрипт из буфера обмена.

Изменено пользователем safety
Опубликовано

смотрите в последнем файле FRST файлы с другим именем

 

скрипт сработает?

 

Опубликовано

Так понимаю, что первый скрипт вы выполнили, нужен будет карантин после первого скрипта, и лог Fixlog.txt

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
2025-04-30 13:28 - 2025-04-30 13:28 - 000004569 _____ C:\Users\Администратор\AppData\AppData.7z
2025-04-30 13:23 - 2025-04-30 13:23 - 000003103 _____ C:\N-Save-XJOZE.7z
2025-04-30 12:04 - 2025-04-30 12:04 - 000003492 _____ C:\Windows\System32\Tasks\Microsoft_Auto_Scheduler
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\users\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000001268 _____ C:\Users\Администратор\AppData\S-6748.bat
2025-04-30 12:04 - 2025-04-30 12:04 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2025-04-30 12:04 - 2025-04-30 12:04 - 000000417 _____ C:\Windows\SysMain.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано (изменено)

после первого скрипта

Fixlog.txt

Изменено пользователем o089901
Опубликовано

Это тоже надо сделать:

Цитата

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Опубликовано
5 минут назад, o089901 сказал:

после первого скрипта

Скрипт как я вижу не был выполнен, лога выполнения нет. только текст скрипта.

Опубликовано
1 минуту назад, o089901 сказал:

перезагрузить?

Скрипт можно  и  в нормальном режиме выполнить. Шифровальщика нет в автозапуске.

Только что, o089901 сказал:

что делать?

Загрузить систему в нормальный режим.

И выполнять все действия по порядку:

вначале выполните все, что написано к первому скрипту.

Опубликовано

почему о после первого скрипта поменял имена файлов?

 

 

сейчас перезагрузился, файлы n-save с другим окончанием батники и скрипт на месте как и были

 

Опубликовано

Выполните первый скрипт, пока не вижу вообще выполнения рекомендаций с вашей стороны.

Опубликовано

сейчас выполнил сервак перезагрузился

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • komma77
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
    • GLADvanger
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • Muk4ltin
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • zimolev
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
×
×
  • Создать...