Перейти к содержанию

Заражение файла, расширение .charm

Monkisio
 Поделиться

Рекомендуемые сообщения

Monkisio Новичок

Monkisio

Опубликовано
Опубликовано

Исходная ситуация: файл базы данных 1С располагался на сервере. В один прекрасный момент он был поражен шифровальщиком .charm. Прошу помочь в данной ситуации.

CollectionLog-2018.12.13-00.09.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ace Stream Media 3.1.28

SpyHunter 5

удалите через Установку программ.

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
maybe (S-1-5-21-522798992-3380221190-177732275-1001 - Administrator - Enabled) => C:\Users\maybe

 

эта учетная запись с правами администратора Вам известна?

 

Не вижу в логах примеров шифрованных файлов и сообщений вымогателей для связи.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-522798992-3380221190-177732275-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF HKU\S-1-5-21-522798992-3380221190-177732275-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\maybe\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
FF Extension: (Ace Script) - C:\Users\maybe\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2018-11-26]
C:\Users\maybe\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
2018-12-13 21:41 - 2018-07-29 18:55 - 000000000 ____D C:\Users\maybe\AppData\Roaming\ACEStream
2018-12-13 05:23 - 2018-07-29 18:55 - 000000000 ____D C:\Users\maybe\AppData\Roaming\.ACEStream
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Monkisio Новичок

Monkisio

Опубликовано
  • Автор
Опубликовано

Учетная запись мне известна, она - моя, администраторская.

 

 

maybe (S-1-5-21-522798992-3380221190-177732275-1001 - Administrator - Enabled) => C:\Users\maybe

 

эта учетная запись с правами администратора Вам известна?

 

Не вижу в логах примеров шифрованных файлов и сообщений вымогателей для связи.

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-522798992-3380221190-177732275-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FF HKU\S-1-5-21-522798992-3380221190-177732275-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\maybe\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
FF Extension: (Ace Script) - C:\Users\maybe\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2018-11-26]
C:\Users\maybe\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
2018-12-13 21:41 - 2018-07-29 18:55 - 000000000 ____D C:\Users\maybe\AppData\Roaming\ACEStream
2018-12-13 05:23 - 2018-07-29 18:55 - 000000000 ____D C:\Users\maybe\AppData\Roaming\.ACEStream
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

 

 


Не вижу в логах примеров шифрованных файлов и сообщений вымогателей для связи.
Это я для себя написал? Прикрепите в архиве к следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Monkisio Новичок

Monkisio

Опубликовано
  • Автор
Опубликовано

Очевидно, что для меня. Но далее был описан некий алгоритм действий. Дублирую его результат ниже. 

 


Не вижу в логах примеров шифрованных файлов и сообщений вымогателей для связи.
Это я для себя написал? Прикрепите в архиве к следующему сообщению.

 

 

Fixlog.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

У Вас определенно проблемы с чтением. Я просил прислать в архиве пример шифрованного файла и сообщение от вымогателей для связи

Ссылка на комментарий
Поделиться на другие сайты
Monkisio Новичок

Monkisio

Опубликовано
  • Автор
Опубликовано

У Вас определённо проблемы с выражением мысли в текстовом сообщении (попахивает баном, не так ли?)
Поскольку файл - слишком большой, могу предоставить ссылку на него (https://dropmefiles.com/SXPOK).
Сообщения от вымогателей, к сожалению, выявлено не было.

 

У Вас определенно проблемы с чтением. Я просил прислать в архиве пример шифрованного файла и сообщение от вымогателей для связи

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

У Вас определённо проблемы с выражением мысли в текстовом сообщении

Ой ли. Наоборот вижу, что не все понимают, что значит заархивировать файл.

 

С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • asmonekus
      [РЕШЕНО] Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • rancol347
      Появляются рекламные вирусы по мнению КВРТ в файлах расширений для хрома и называются bg.js. Хром не использую
      Автор rancol347
      Иногда проверяю компьютер КВРТ и он выдал 2 рекламных вируса/расширения. После лечения с перезагрузкой всё вроде нормально, но если через 2-3 дня проверить снова появляется 1-2 расширения (not-a-virus:HEUR:AdWare.js.extredirect.gen и ещё какой-то, но по названию самый обычный адварь). И могу ли запустить автологгер вместе с защитником виндовс? (я не понял как выгрузить) и компьютер теоретически должен выдержать.
    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      Автор Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
×
×
  • Создать...