Перейти к содержанию

da_vinci_code поймали шифровальщик

feniq
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [Client Server Runtime Subsystem] => C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe [974349 2016-09-21] (This novel ticks many boxes: its themes are serious, its historic grounding solid, its structure careful, its old-fashioned)
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2016-09-22 08:12 - 2016-09-22 08:12 - 00006044 _____ C:\Documents and Settings\Секретарь\Рабочий стол\Nov4642109.zip
2016-09-21 17:47 - 2016-09-21 17:47 - 02359350 _____ C:\Documents and Settings\Секретарь\Application Data\172BF730172BF730.bmp
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README9.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README8.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README7.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README6.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README5.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README4.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README3.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README2.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README10.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\Секретарь\Рабочий стол\README1.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2016-09-21 17:47 - 2016-09-21 17:47 - 00004210 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2016-09-21 12:59 - 2016-09-21 17:48 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README9.txt
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README8.txt
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README7.txt
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README6.txt
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README5.txt
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README4.txt
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README3.txt
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README2.txt
2016-09-21 12:59 - 2016-09-21 12:59 - 00004210 _____ C:\README10.txt
2016-09-21 12:58 - 2016-09-21 12:58 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
feniq

feniq

Опубликовано
  • Автор
Опубликовано

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

сделано

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Андрей007090
      Помогите поймал шифровальщика плиссс
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • a_d_69
      Пойман шифровальщик [restore1_helper@gmx.de].Banta
      Автор a_d_69
      Поймали шифровальщика, по возможности можете сказать есть возможно расшифровать. Логи через FRST добавили. Пароль на архив 123
      977Fast.rar Архив.zip Addition.txt FRST.txt
    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
×
×
  • Создать...