Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.

Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.

 

Изображение WhatsApp 2025-08-11.jpg

FRST.rar

Опубликовано (изменено)

Лог Addition.txt так же необходим для анализа.

Если данный лог отсутствует:

судя по логу FRST есть подозрение, что система может быть заражена вирусом Neshta,

2025-07-14 01:50 - 2025-07-14 01:50 - 000041472 _____ C:\Windows\svchost.com

Выполните проверку системы с помощью загрузочного диска KRD

 

после проверки создайте новые логи FRST из нормального режима.

 

 

Изменено пользователем safety
Опубликовано

Выбрать Addition.txt нет возможности. Выполнил проверку системы с помощью KRD, было обнаружено около 1500 файлов зараженных Neshta.

 

Создал новые логи FRST по прежнему из среды восстановления Windows, так как нормальная загрузка ОС и вход в учетные записи не доступны.

IMG_3996.JPEG

FRST.txt

Опубликовано

Продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу (возможно) c перезагрузкой системы

Start::
HKLM-x32\...\Run: [] => [X]
Task: {F240A929-3203-4A13-9176-8FEA9E535351} - \Optimize Start Menu Cache Files-S-1-5-21-2331083727-2912664457-2249245929-1001 -> No File <==== ATTENTION
S2 YandexBrowserService; C:\Program Files (x86)\Yandex\YandexBrowser\24.10.4.931\service_update.exe [3097760 2025-05-06] (YANDEX LLC -> YANDEX LLC)
S2 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S3 GoogleChromeElevationService; "C:\Program Files (x86)\Google\Chrome\Application\109.0.5414.168\elevation_service.exe" [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\109.0.1518.140\elevation_service.exe" [X]
S3 kpm_launch_service; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 9.0.2\kpm_service.exe" [X]
2025-07-14 01:55 - 2025-07-14 01:55 - 007987254 _____ C:\ProgramData\F10A904EF64FCAC82969869C00B2A333.bmp
2025-07-14 01:55 - 2025-07-14 01:55 - 000000040 ____H C:\2C5CF5F2479E
2025-07-14 01:50 - 2025-07-14 01:54 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2025-07-14 01:48 - 2025-07-16 19:42 - 000000000 ____D C:\Users\Администратор\Desktop\x64-Release
2025-07-14 01:54 - 2017-11-10 18:27 - 000000000 ____D C:\Program Files\Unlocker
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано

В среде восстановления Windows есть только командная строка и проводник. Запустить там браузер нет возможности, к тому же KRD все вылечил и больше ни чего не находит. Тут стоит вопрос о возможности дешифровки файлов.

Опубликовано

Расшифровка файлов по данному типу шифровальщика невозможна без приватного ключа. Возможно восстановление данных только с бэкапов.

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Антон.Б
      Автор Антон.Б
      Установлен корпоративный KES . через RDP перебором (слабый пароль был  ) добрались до учетки с правами админа и зашифровали комп, KES  отключили. подскажите что дальше делать.
      С Уважением Антон
      Xyd3RcAk4M.rar
    • tentacruel74
      Автор tentacruel74
      Поймали на ПК шифровальщик протон вроде как, можно ли восстановить данные?
      Пароль на архив virusFRST_22-06-2026 14.24.59.txtAddition_22-06-2026 15.17.29.txt
      123.rar
    • Bek777
      Автор Bek777
      Здравствуйте! Коллеги поймали шифровальщик, отключили от сети убрали через KVRT. Далее установили (после пожара) KES. Логи с KVRT нет. Прилагаю только с FRST и само сообщение во втором архиве. Зашифровано практически все форматы и оба (С, D) диска. Закидывал в шерифа не найдено. Надеюсь вы поможете.
      FRST.rarHowToRecover.rar
    • Игорь11222
      Автор Игорь11222
      Сегодня в ночь зашивровались некоторые файлы, кроме зашифрованных файлов и тектовых документов с требованиями ничего в системе не обнаружено. Файлы зашифровались не все, с 22:00 началось шифрование файлов, в 3:08 оно остановилось. Антивирус никакх угроз не обнаружил
      Addition.txt FRST.txt в.zip
    • lda
      Автор lda
      Доброй ночи! Зашифровали компьютеры сети, похоже на Mimic. На одном из компьютеров, откуда скорей всего производили запуск, нашел папочку mimic, ее прикладываю. Архив encrypted с зашифрованным файлами с этого же компа, dunay-ut - с компа из сети. Прошу оказать помощь в расшифровке. Заранее благодарен
      dunay-ut.rar Mimik.rar encrypted.rar
×
×
  • Создать...