Перейти к содержанию
Важная информация для бета-тестеров

kiaracript@gmail.com

Сергей Жданов_42554

От Сергей Жданов_42554
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Сергей Жданов_42554 Новичок

Сергей Жданов_42554

Опубликовано
Опубликовано (изменено)

Добрый вечер. Словили шифровальщик. Отправляю результаты проверки

CollectionLog-2018.01.15-17.10.zip

Изменено пользователем Сергей Жданов_42554
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Сергей Жданов_42554 Новичок

Сергей Жданов_42554

Опубликовано
  • Автор
Опубликовано

Сегодня опять дал о себе знать вирус: бухгалтер заходит удаленно на сервер поработать в 1С, спустя время ей выдает "Фатальная ошибка, документ xml is empty" ссылаясь на registry.xml (C:\Users\User\AppData\Roaming\1C\1cv8\ExtCompT\registry.xml), перехожу по этому пути - его содержимое вместо

<?xml version="1.0" encoding="UTF-8"?>
<registry xmlns="http://v8.1c.ru/8.2/addin/registry"/>

содержит

registry.xml.SN-4760199112463586-kiaracript@gmail.com.

Понаблюдал самостоятельно, после удаления xml файла из этй папки и повторного запуска 1С создается файл с норм содержимым, спустя 1-3 мин содержимое меняется kiaracript... - значит все таки на сервере есть активный процесс kiara, сделал еще раз логи с пом вышеуказанной программы  Farbar Recovery Scan Tool, содержимое во вложении.

Что еще можно предпринять ?

 


Добавляю отчет после сканирования системы AutoLogger.exe

Desktop.rar

CollectionLog-2018.01.19-23.16.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В момент повторного шифрования к серверу имеют доступ другие машины из локальной сети? Логи с рабочего компьютера бухгалтера еще бы сделать не помешало.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • evgeny_f
      Шифровальщик Mail-[mammoncomltd@gmail.com]ID-[L5Y80R37X4].lock и lock.v2
      От evgeny_f
      Addition.txtVirus.rarREAD.txtFRST.txt
       
      Здравствуйте. 8 сентября были зашифрованы файлы на сервере с 1с. Копии баз на этой же машине на другом диске. Тоже зашифрованы. Помогите пожалуйста!
    • e.vetcasov
      Помощь с расшифровкой princeondarkhorse34@gmail.com
      От e.vetcasov
      Помощь с расшифровкой princeondarkhorse34@gmail.com
      1 сервер и 3 локальных машины
      файл nn.exe приложил скрин: photo_2024-07-23_07-32-31.jpg

      Addition.txt FRST.txt information.txt
    • Kreout
      Шифровальщик (aaleenthomas@gmail.com).GAYGUY
      От Kreout
      Добрый день. Поймал примерно две недели назад неизвестного шифровальщика. Файла вируса не осталось. ОС переустановил.  Помогите, пожалуйста. 
      шифрованные файлы и инструкция.rar Addition.txt FRST.txt
    • freespect
      Шифровальщик m0r0kt34m@gmail.com
      От freespect
      Доброго времени суток!

      Столкнулся с неизвестным типом шифровальщика, антивирус его никак не обнаружил.
      Прикрепляю архив с примерами зашифрованного и оригинального файлов. К сожалению, больше информации на данный момент нету.
      Заранее спасибо!
      crypt.rar
×
×
  • Создать...