Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

зловред зашифровал файлы на сервере 1с

o089901
 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

И что дальше написано после выполнения скрипта.?

Цитата

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

 

это тоже надо сделать

Этот файл посмотрите, есть или нет в системе

AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe

потому что или его FRST не находит по данному пути и она запускается.

S2 SqlBakup; C:\Users\4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]

из под странной учетной записи.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Эти файлы вручную удалили?

"C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe" => не найдено

"C:\Users\Администратор\Desktop\nestar_angle@mailum.com_Official.exe" => не найдено

они были в первом логе FRST

 

Сейчас сделайте новые логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

судя по карантину,через задачу Microsoft_Auto_Scheduler вся цепочка запускается.

      <Command>"C:\Users\Администратор\AppData\S-2153.bat"</Command>

 

Ждем новые логи FRST

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Еще раз выполняем скрипт в FRST с перезагрузкой:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2025-04-30] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Restore_Your_Files.txt [2025-04-29] () [Файл не подписан]
Task: {28B185E7-5337-4530-8403-4612E69D2094} - \Microsoft_Auto_Scheduler -> Нет файла <==== ВНИМАНИЕ
S3 WinRing0_1_2_0; \??\C:\Users\Администратор\AppData\Roaming\Updater1C\Updater1C.sys [X]
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\Users\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\Users\Администратор\AppData\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\Users\N-Save-HAT1U.sys
2025-04-30 15:29 - 2025-04-30 15:29 - 000003460 _____ C:\N-Save-HAT1U.sys
S2 SqlBakup; C:\Users\�4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Очистка успешная,

Task: {28B185E7-5337-4530-8403-4612E69D2094} - \Microsoft_Auto_Scheduler -> Нет файла <==== ВНИМАНИЕ

задача, через которую мог быть запуск XInfecter.exe, т.е. тело шифровальщика, удалена

Цитата

"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{28B185E7-5337-4530-8403-4612E69D2094}" => успешно удалены
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{28B185E7-5337-4530-8403-4612E69D2094}" => успешно удалены
"HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft_Auto_Scheduler" => успешно удалены

S2 SqlBakup; C:\Users\?4<8=8AB@0B>@\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xinfecter.exe [X]

Служба SqlBakup, через которую запускался Xinfecter,exe, удалена

HKLM\System\CurrentControlSet\Services\SqlBakup => успешно удалены
SqlBakup => служба успешно удалены

 

но есть но.

 

Сам Xinfecter,exe размещен в папке StartUp и может самостоятельно запускаться при каждой перезагрузке системы.

 

Убедитесь, что его нет в системе ни в одной из учетных записей.

  

�4<8=8AB@0B>@

Скорее всего в логе FRST некорректно отображается имя учетки "Администратор".

+

добавьте новые логи FRST для контроля.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

К сожалению, по данному типу шифровальщика расшифровка файлов невозможна без приватного ключа.

+

проверьте ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Muk4ltin
      Зловред зашифровал файлы
      Автор Muk4ltin
      Помогите с расшифровыванием файлов или подскажите как действовать? Прикрепил файл с требованием и зашифрованный файл в архиве
      92qjfSsqC.README.txt Специалист-по-ГО.doc.rar
    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • komma77
      Зашифровали сервер и копьютеры.
      Автор komma77
      Добрый день. Зашифрованы сервер и компьютеры.  
      файлы и записка.zip Addition.txt FRST.txt
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • F_Aliaksei
      Зашифрованы копьютеры и сервера в домене
      Автор F_Aliaksei
      Добрый день. Зашифрованы компьютеры и сервера в домене.
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE*KOZANOSTRA-HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt Остатки МЦ Фомин.xls.rar СЧЕТ 10 ДЛЯ СПИСАНИЯ_ИТ.xls.rar
×
×
  • Создать...