Перейти к содержанию

Рекомендуемые сообщения

Если не трудно, предыдущую рекомендацию все же сделайте.

+

Если до момента заражения было включено Восстановление системы, можно попробовать восстановить поврежденные файлы из теневых копий.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 31
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Файлы в архиве Package_75_for_KB2726535~31bf3856ad364e35~amd64~~6.1.1.1.rar

Зачем же из образа? Соберите логи FRST, проверим, не осталось ли чего и можно будет пробовать на этой же системе восстановить.

Ссылка на сообщение
Поделиться на другие сайты

Если еще не начали делать образ, упакуйте этот файл

C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_412_for_KB4038777~31bf3856ad364e35~amd64~~6.1.1.3.cat

с несколькими соседними из этой же папки в архив и прикрепите к следующему сообщению. Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Если не возражаете, еще исследование:

 

Пожалуйста, скачайте: https://technet.microsoft.com/ru-ru/sysinternals/bb897441.aspx

Отключите интернет.

Создайте папку C:\sigcheck и распакуйте в неё файл sigcheck64.exe

Нажмите Win + R, введите cmd и нажмите ОК.

Вставьте такую строку:

C:\sigcheck\sigcheck64.exe -i C:\Windows\System32\Audiosrv.dll > C:\sigcheck\sign.log

и нажмите ENTER.

Прикрепите лог "C:\sigcheck\sign.log"

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-508854890-3005646773-2128989495-1000\...\Run: [MyProgram] => 888f237ef69b11101f4a17c60041f742.exe
    CHR HKU\S-1-5-21-508854890-3005646773-2128989495-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR DefaultSearchURL: ChromeDefaultData2 -> hxxp://www.initialpage123.com/search/?q={searchTerms}&z=6f1268044e436d0f0ad24e3g4zatdo0eaq2w9bfw8w&from=amz&uid=ST1000DM003-1ER162_Z4Y2GMSHXXXXZ4Y2GMSH&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData2 -> 28initialpage123
    CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-04-13] <==== ATTENTION
    CHR Profile: C:\Users\admin\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 [2017-09-27] <==== ATTENTION
    S2 Wgeuneloj; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
    S2 Wgeuneloj; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) [File not signed] <==== ATTENTION (no ServiceDLL)
    2017-09-25 10:46 - 2017-09-25 10:46 - 000004468 _____ C:\Program Files\how_to_back_files.html
    2017-09-25 10:36 - 2017-09-25 10:36 - 000004468 _____ C:\Program Files (x86)\how_to_back_files.html
    2017-09-25 10:07 - 2017-09-25 10:07 - 000004468 _____ C:\Users\admin\AppData\Local\how_to_back_files.html
    2017-09-25 09:56 - 2017-09-25 09:56 - 000004468 _____ C:\Users\admin\Desktop\how_to_back_files.html
    2017-09-25 09:36 - 2017-09-25 09:36 - 000004468 _____ C:\Users\admin\Documents\how_to_back_files.html
    2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Downloads\how_to_back_files.html
    2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Documents\how_to_back_files.html
    2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Public\Desktop\how_to_back_files.html
    2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\Default\how_to_back_files.html
    2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\how_to_back_files.html
    2017-09-25 09:35 - 2017-09-25 09:35 - 000004468 _____ C:\Users\admin\Downloads\how_to_back_files.html
    2017-09-25 09:34 - 2017-09-25 09:34 - 000004468 _____ C:\Users\Public\how_to_back_files.html
    2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\Все пользователи\how_to_back_files.html
    2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\Users\how_to_back_files.html
    2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\ProgramData\how_to_back_files.html
    2017-09-25 09:23 - 2017-09-25 09:23 - 000004468 _____ C:\how_to_back_files.html
    Task: {122FB2EF-6A2C-45C1-9D02-8B440611E377} - \{0B0A0C47-7E0E-790A-0E11-79780908117F} -> No File <==== ATTENTION
    Task: {DBE3F315-D9AB-4BDE-8FF4-DE7E70838A0C} - \Gntypluhsp -> No File <==== ATTENTION
    FirewallRules: [{7E574B5A-F473-4220-A055-84DF8E43F763}] => (Allow) C:\Program Files\UBar\ubar.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

+

Нажмите Win + R, введите cmd и нажмите ENTER

Введите

systeminfo > desktop\sysinfo.txt

и нажмите ENTER.

Пришлите файл sysinfo.txt с рабочего стола.

Ссылка на сообщение
Поделиться на другие сайты

На этом закончим.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От tvvvitos
      Добрый день! Поймал шифровальщик, по видимому Cryakl. Файлы прилагаю. Есть ли шанс расшифровать файлы? 
      encrypted.rar
    • От Smirnov85
      шифровальщик зашифровал файлы, в именах зашифрованных файлов присутствует secure[dealinfrm@cock.li]. Стандартные дешифровальщики от лаборатории Касперского не помогли (RakhniDecryptor, ShadeDecryptor, RannohDecryptor). Лог согласно инструкции прилагаю
      CollectionLog-2021.05.18-15.33.zip
    • От AgentSAB
      Доброго времени суток.
      Пользователь где-то словил шифровальщик LIZARD
      Помогите с дешифровкой.
      Прикрепляю логи, зашифрованные файлы и требование шифровальщика. Сам файл шифровальщика не нашёл.
      Спасибо
      Логи.rar Зашифрованные файлы.rar Требование.rar
    • От asdf33
      Здравствуйте! 7-го или 8-го мая 2021 года, был заражен компьютер с архивами баз 1с, скорее всего по RDP каналу. 10-го мая было обнаружено, что система ушла в BSOD и более не запускается. Провёл проверку жесткого диска на здоровом компьютере, обнаружил HEUR:Trojan-Ransom.Win32.Cryakl.gen Объект: _ms_manpld_upd144.exe. Практически все файлы зашифрованы. Система была тут же установлена начисто. Возможно ли расшифровать хотя бы файлы архивов 1с сохраненные в dt и zip? Прикладываю зашифрованный текстовый файл archiv.zip и шифровальщика _ms_manpld_upd144.zip с указаным паролем. Само собой логи анализа системы и записки с требованием нет (система уже не запускалась).
      archiv.zip
    • От kostia7alania
      Зашифровали все файлы, в каждой папке есть хелп с таким html:
       
      Your files will be leak after 2 days 21:12:21 Decrypt files? Write to this mails: honestandhope@qq.com or . mail honestandhope@qq.com.
      You unique ID [3EBA0CD9-36A432CE] [copy]  
      Написал им на почту honestandhope@qq.com и вот что ответили:
      Я ответил, что у меня нет таких денег. И вот ответ:
      We can make a price of $ 1500 if you pay this week. Many russians using this web service to buy bitcoins https://byware.net/ or https://easybit.pro/ Wallet number: 1KssAVbkUAjjMy7xnrn2yiN1yFjY97PXGH Аfter payment, send a screenshot of your payment and we will send you the decoder and instructions Ребята из Белоруссии уже откликнулись:
       
       
      В архиве сам шифровальщик и примеры: ссылка удалена
      (!) Осторожно ! Не скачивать на свои настоящие девайсы, ток на виртуалку !
      Письмо с требованием :


      Шифруют в начале, а в конце - добавочная инфа о восстановлении:
      см скрин:
       
      РЕбята, а куда скинуть сам шифровальщик? Сюда незя , оказывается (

      Прикреплю по одному зашифрованные файлы
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы и ссылки на них. samples.rar

×
×
  • Создать...