Перейти к содержанию

Заражение [decrypthelp@qq.com].arrow

Vladimir.Petrov
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Увы, расшифровки для этого типа вымогателя нет.

 

Очень устаревшая версия антивируса у Вас установлена. Обновите.

 

Для очистки следов и мусора дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Vladimir.Petrov Новичок

Vladimir.Petrov

Опубликовано
  • Автор
Опубликовано

Заражение точно произошло на этом компьютере?

Это лог с сервера. Зашифрованы файлы в общей папке на сервере. Буду проверяю остальные компьютеры(прим.50)

Ссылка на комментарий
Поделиться на другие сайты
Vladimir.Petrov Новичок

Vladimir.Petrov

Опубликовано
  • Автор
Опубликовано

AVZ при скане выдает вот это(и после сканирования FRST тоже .Надо FIX?

7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\CIMntfy\CIMntfy.exe ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности)
>>> C:\WINDOWS\system32\CPQNiMgt\CPQNiMgt.exe ЭПС: подозрение на Trojan-Ransom.Win32.Scatter (высокая степень вероятности)

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Я видел. Это от продуктов HP.

Для верности, проверьте эти файлы на www.virustotal.com

Результат покажите (ссылку на него вставьте в сообщение).

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Во избежание путаницы, создавайте для каждого ПК отдельную тему и начинайте с CollectionLog средствами Автологера.

проверьте эти файлы на www.virustotal.com Результат покажите (ссылку на него вставьте в сообщение)

Проверили?
Ссылка на комментарий
Поделиться на другие сайты
Vladimir.Petrov Новичок

Vladimir.Petrov

Опубликовано
  • Автор
Опубликовано

Проверил

https://www.virustotal.com/#/file/38e8d195dbdde29a921b9a4c02a5d8141be2cb433ef5fb336310b7a29b18a785/detection

https://www.virustotal.com/#/file/176be6dadb9d7d77109ba1e3cca7cb2946691e5e2d2afabf8a9c24437b9e4531/detection

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Для этого компьютера проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Возможны оба варианта. Пароль на RDP смените так или иначе.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Platform: Microsoft® Windows® Server 2003, Enterprise Edition Service Pack 2 (X86) Language: English (United States)

Internet Explorer Version 6 (Default browser: Opera)

Сервер не обновляется вот и ломанули с помощью эксплойта или банального перебора если политики не настроены. 

 

==================== Accounts: =============================

 
Administrator (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile

Это вообще не безопасно. Гораздо проще подбирать пароли к стандартным учетным записям Windows, чем к нестандартным УЗ. Зачем Вам 3 УЗ Администратора? Порт 3389 у Вас открыт на сервере?

 

administartor (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile

administrator$ (0 - Administrator - Enabled) => %systemroot%\system32\config\systemprofile
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Asya
      Возможное заражение трояном
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
    • yare4kaa
      Вирусные заражения системы, торможения
      От yare4kaa
      Здравствуйте, был в рейсе и не чистил пк от вирусов, заразился много фигней, нужна помощь специалистов.
      Логи ниже CollectionLog-2024.11.25-18.32.zip
    • Dwight
      Возможное заражение компьютера
      От Dwight
      Думаю заразил Пк вирусами, так-как при банальном открытии браузера вентиляторы начинают активно набирать обороты, а работать в программах для монтажа стало просто невозможно, но все проблемы меня покидают после открытия диспетчера задач
       
      CollectionLog-2024.10.24-13.20.zip
    • Alexandr_XML
      [РЕШЕНО] Активное заражение Win64.SEPEH
      От Alexandr_XML
      Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.
      CollectionLog-2024.11.12-07.12.zip
    • Александр Лаптев
      [РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
×
×
  • Создать...