Перейти к содержанию

зловред зашифровал файлы на сервере 1с

o089901
 Поделиться

Рекомендуемые сообщения

o089901 Новичок

o089901

Опубликовано
Опубликовано (изменено)

после вынужденной перезагрузки сервера перестали работать базы 1с, как оказалось файлы на сервере зашифрованы вирусом

FRST.txt virus.7z

AppData.7z N-Save-XJOZE.7z

Изменено пользователем o089901
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\Администратор\...\Run: [YandexBrowserAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62] => "C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
2025-04-29 05:10 - 2025-04-27 01:05 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe
2025-04-29 04:45 - 2025-04-29 07:01 - 000000000 ____D C:\Users\test\Desktop\mimi
2025-04-29 04:45 - 2023-11-15 13:25 - 000172544 _____ (NirSoft) C:\Users\test\Desktop\CredentialsFileView.exe
2025-04-29 04:45 - 2021-04-28 18:48 - 000614400 _____ (NirSoft) C:\Users\test\Desktop\LostMyPassword.exe
2025-04-29 06:18 - 2025-04-30 07:13 - 000001268 _____ C:\Users\Администратор\AppData\S-6748.bat
2025-04-29 06:18 - 2025-04-30 07:13 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2025-04-29 06:18 - 2025-04-30 07:13 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
2025-04-29 05:48 - 2025-04-29 05:59 - 000000047 _____ C:\R_cfg.ini
2025-04-29 05:48 - 2025-04-29 05:48 - 000000038 _____ C:\Users\Администратор\Desktop\R_cfg.ini
2025-04-29 05:47 - 2025-04-27 01:06 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Manualll.exe
2025-04-29 05:11 - 2025-04-30 07:13 - 000003492 _____ C:\Windows\System32\Tasks\Microsoft_Auto_Scheduler
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\users\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000003460 _____ C:\N-Save-XJOZE.sys
2025-04-29 05:11 - 2025-04-29 05:11 - 000000417 _____ C:\Windows\SysMain.sys
2025-04-29 05:10 - 2025-04-27 01:05 - 001257984 _____ C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety
обновил скрипт
Ссылка на комментарий
Поделиться на другие сайты
o089901 Новичок

o089901

Опубликовано
  • Автор
Опубликовано

Извиняюсь я комп перезагрузил и он снова мне начал выдавать сообщения о блокировке файлов, еще раз выполнил сканирование из среды востановления

FRST.txt

а куда скрипт копировать?

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Запускаем FRST. Далее,

Открываем в браузере данную страницу.

Скрипт копируется в буфер обмена.  И все. браузер закрываем.

В окне FRST нажимаем "Исправить". FRST сам подтянет скрипт из буфера обмена.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Так понимаю, что первый скрипт вы выполнили, нужен будет карантин после первого скрипта, и лог Fixlog.txt

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
2025-04-30 13:28 - 2025-04-30 13:28 - 000004569 _____ C:\Users\Администратор\AppData\AppData.7z
2025-04-30 13:23 - 2025-04-30 13:23 - 000003103 _____ C:\N-Save-XJOZE.7z
2025-04-30 12:04 - 2025-04-30 12:04 - 000003492 _____ C:\Windows\System32\Tasks\Microsoft_Auto_Scheduler
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\users\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000003460 _____ C:\N-Save-I11M7.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000001268 _____ C:\Users\Администратор\AppData\S-6748.bat
2025-04-30 12:04 - 2025-04-30 12:04 - 000000686 _____ C:\Users\Администратор\AppData\S-8459.vbs
2025-04-30 12:04 - 2025-04-30 12:04 - 000000417 _____ C:\Windows\SysMain.sys
2025-04-30 12:04 - 2025-04-30 12:04 - 000000138 _____ C:\Users\Администратор\AppData\S-2153.bat
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Это тоже надо сделать:

Цитата

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
1 минуту назад, o089901 сказал:

перезагрузить?

Скрипт можно  и  в нормальном режиме выполнить. Шифровальщика нет в автозапуске.

Только что, o089901 сказал:

что делать?

Загрузить систему в нормальный режим.

И выполнять все действия по порядку:

вначале выполните все, что написано к первому скрипту.

Ссылка на комментарий
Поделиться на другие сайты
o089901 Новичок

o089901

Опубликовано
  • Автор
Опубликовано

почему о после первого скрипта поменял имена файлов?

 

 

сейчас перезагрузился, файлы n-save с другим окончанием батники и скрипт на месте как и были

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • ideator
      Ночью все файлы на сервере были зашифрованы .symat
      Автор ideator
      Добрый день! Ночью все файлы были зашифрованы. Прикрепляю зашифрованные файлы с запиской и лог 
      зашифрованные файлы с запиской.rar Fixlog.txt Quarantine.rar
    • evg-gaz
      зашифровали сервер
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • Zakot
      Вирус зашифровал данные на сервере
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
×
×
  • Создать...