rcru64 зловред зашифровал файлы на сервере 1с

[safety]

И что дальше написано после выполнения скрипта.?

Цитата

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

это тоже надо сделать

Этот файл посмотрите, есть или нет в системе

AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe

потому что или его FRST не находит по данному пути и она запускается.

S2 SqlBakup; C:\Users\4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]

из под странной учетной записи.

Изменено 30 апреля пользователем safety

[o089901]

Fixlog.txt

[safety]

Эти файлы вручную удалили?

"C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe" => не найдено

"C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe" => не найдено

они были в первом логе FRST

 

Сейчас сделайте новые логи FRST.

[o089901]

файл загружен, ссылка удалена.

сейчас сделаю

Изменено 30 апреля пользователем safety
файл загружен, ссылка удалена.

[safety]

судя по карантину,через задачу Microsoft_Auto_Scheduler вся цепочка запускается.

      <Command>"C:\Users\Администратор\AppData\S-2153.bat"</Command>

 

Ждем новые логи FRST

[o089901]

FRST.txt

[safety]

Еще раз выполняем скрипт в FRST с перезагрузкой:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2025-04-30] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2025-04-29] () [Файл не подписан]
Task: {28B185E7-5337-4530-8403-4612E69D2094} - \Microsoft_Auto_Scheduler -> Нет файла <==== ВНИМАНИЕ
S3 WinRing0_1_2_0; \??\C:\Users\Администратор\AppData\Roaming\Updater1C\Updater1C.sys [X]
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\Users\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\Users\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\N-Save-HAT1U.sys
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

[o089901]

Fixlog.txt

[safety]

Очистка успешная,

Task: {28B185E7-5337-4530-8403-4612E69D2094} - \Microsoft_Auto_Scheduler -> Нет файла <==== ВНИМАНИЕ

задача, через которую мог быть запуск XInfecter.exe, т.е. тело шифровальщика, удалена

Цитата

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{28B185E7-5337-4530-8403-4612E69D2094}" => успешно удалены
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{28B185E7-5337-4530-8403-4612E69D2094}" => успешно удалены
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft_Auto_Scheduler" => успешно удалены

S2 SqlBakup; C:\Users\?4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]

Служба SqlBakup, через которую запускался Xinfecter,exe, удалена

HKLM\System\CurrentControlSet\Services\SqlBakup => успешно удалены
SqlBakup => служба успешно удалены

 

но есть но.

 

Сам Xinfecter,exe размещен в папке StartUp и может самостоятельно запускаться при каждой перезагрузке системы.

 

Убедитесь, что его нет в системе ни в одной из учетных записей.

 

�4<8=8AB@0B>@

Скорее всего в логе FRST некорректно отображается имя учетки "Администратор".

+

добавьте новые логи FRST для контроля.

 

Изменено 1 мая пользователем safety

[o089901]

Хорошо, буду позже возле машины сделаю, вопрос есть ли возможность восстановить файлы? 

[safety]

К сожалению, по данному типу шифровальщика расшифровка файлов невозможна без приватного ключа.

+

проверьте ЛС.

Изменено 1 мая пользователем safety