Перейти к содержанию

Мы тоже поймали шифровщик .bomber лог прилагаю


Рекомендуемые сообщения

Добрый день. поймали шифровщик. зашифровал все файлы на машине.

симптомов никаких не было, почту пользователь проверить не успел, открыл 1 документ ворд после этого произошла активация вируса. (возможно запустился по расписанию)

 

лог прилагаю 

 

 

CollectionLog-2018.06.19-10.06.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

 

 

 

 

прилагаю файлы

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

У Вас очередная версия Scarab. С расшифровкой помочь не сможем. Будет только зачистка мусора.

 

C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat - это файл, который запускается через Планировщик заданий Вам известен?

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {0335C55F-3E37-413B-9CF5-27DFF41B845A} - \KMSAuto -> No File <==== ATTENTION
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\Public\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:09 - 2018-06-19 08:09 - 000002450 _____ C:\Users\chueva\Downloads\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
2018-06-19 08:02 - 2018-06-19 08:10 - 000002450 _____ C:\Users\chueva\Desktop\КАК ВОССТАНОВИТЬ ЗАШИФРОВАННЫЕ ФАЙЛЫ.TXT
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

да. C:\Program Files\FusionInventory-Agent\fusioninventory-agent.bat  нам известен.

это инвентаризация.

 

а вот с рашифровкой огорчили.

платить 300 уе вымогателям? 

есть шанс что со временем будет возможна расшифровка

Ссылка на комментарий
Поделиться на другие сайты

Какого совета Вы ждете? Про невозможность расшифровки я написал.

 

Кстати, судя по одной из тем с этим шифратором, заражение произошло после открытия документа Word (или чего-то маскирующегося под документ Word) из почты. "Пытайте" сотрудницу, проводите ликбез по основам информационной безопасности.

Ссылка на комментарий
Поделиться на другие сайты

Дату и время появления папки C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip сообщите, пожалуйста.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-1957994488-1767777339-839522115-7165\...\Run: [7-ZipPortable] => C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip\7-ZipPortable.exe [154032 2010-11-23] (PortableApps.com)
C:\Users\chueva\AppData\Roaming\Microsoft\7-Zip
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • user344
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Snedikk
      Автор Snedikk
      Добрый день! 
      Поймал вирус-майнер tool.btcmine.2812. Недавно был похожий троян, но по рекомендациям с данного форума удалось его удалить посредством утилиты AVZ. Затем какое-то время все было хорошо. Сегодня решил проверить комп на наличие вирусов утилитой DrWeb CureIt и сия програмка показала наличие вредоносного червячка. Пробовал удалять его самой утилитой от DrWeb, но после перезагрузки он восстанавливается и все приходится делать снова. По инструкции просканировал комп и логи прикладываю к теме. Будьте добры помочь, люди. Заранее огромная благодарность
      CollectionLog-2025.06.20-19.07.zip

    • qwerty1234
      Автор qwerty1234
      Здравствуйте! После посещения сайтов с бесплатными играми и фильмами ноутбук стал резко вибрировать и шуметь. Любой фильм или игра сопровождаются ритмичной вибрацией, которой раньше не было. Подозреваю, что поймал майнер.
      По рекомендации из одной из недавних тем скачал Security Check by glax24. Просканировал. Прикладываю результат.
      Так как сам я в этом не Копенгаген, прошу помочь расшифровать написанное и посоветовать план действий. Заранее благодарен!!!
       
      SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
      WebSite: www.safezone.cc
      DateLog: 09.05.2025 18:25:29
      Path starting: C:\Users\Емельян\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
      Log directory: C:\SecurityCheck\
      IsAdmin: True
      User: Emelian
      VersionXML: 13.80is-05.05.2025
      ___________________________________________________________________________
      Windows 11 Professional (x64) Версия: 24H2 (10.0.26100.3915) Язык: Russian(0419)
      Дата установки ОС: 25.11.2024 07:02:43
      Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
      Режим загрузки: Normal
      Браузер по умолчанию: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
      Системный диск: 😄 ФС: [NTFS] Емкость: [475.9 Гб] Занято: [339.8 Гб] Свободно: [136.1 Гб]
      ------------------------------- [ Windows ] -------------------------------
      Контроль учётных записей пользователя включен (Уровень 3)
      Центр обеспечения безопасности (wscsvc) - Служба работает
      Удаленный реестр (RemoteRegistry) - Служба остановлена
      Обнаружение SSDP (SSDPSRV) - Служба работает
      Службы удаленных рабочих столов (TermService) - Служба остановлена
      Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
      Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
      Оптимизация доставки (DoSvc) - Служба работает
      Служба "Безопасность Windows" (SecurityHealthService) - Служба работает
      Служба оркестратора обновлений (UsoSvc) - Служба работает
      WaaSMedicSvc (WaaSMedicSvc) - Служба остановлена
      Центр обновления Windows (wuauserv) - Служба остановлена
      ---------------------------- [ Antivirus_WMI ] ----------------------------
      Windows Defender (выключен и обновлен)
      Kaspersky Anti-Virus (включен и обновлен)
      --------------------------- [ FirewallWindows ] ---------------------------
      Брандмауэр Защитника Windows (mpssvc) - Служба работает
      ---------------------- [ AntiVirusFirewallInstall ] -----------------------
      Kaspersky Anti-Virus v.21.3.10.391
      -------------------------- [ SecurityUtilities ] --------------------------
      Kaspersky Password Manager v.25.0.0.225
      --------------------------- [ OtherUtilities ] ----------------------------
      Среда выполнения Microsoft Edge WebView2 Runtime v.136.0.3240.50
      Steam v.2.10.91.91
      Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0
      Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0
      ------------------------------- [ Backup ] --------------------------------
      Microsoft OneDrive v.25.065.0406.0002
      ---------------------------- [ ProxyAndVPNs ] -----------------------------
      PlanetVPN-2.10.30.68 v.2.10.30.68
      ------------------------------- [ Browser ] -------------------------------
      Microsoft Edge v.136.0.3240.50
      ------------------ [ AntivirusFirewallProcessServices ] -------------------
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avp.exe v.21.3.0.1
      Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avpui.exe v.21.3.12.434
      Microsoft Defender Core Service (MDCoreSvc) - Служба остановлена
      Microsoft Defender Antivirus Service (WinDefend) - Служба остановлена
      Microsoft Defender Antivirus Network Inspection Service (WdNisSvc) - Служба остановлена
      ----------------------------- [ End of Log ] ------------------------------
×
×
  • Создать...