Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Здравствуйте помогите пожалуйста шифровальщик зашифровал файлы на сервере

proldzhe
 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

С расшифровкой помочь не сможем, увы.

Поможем с очисткой системы.

 

Сторонними средствами типа Акронис сделайте резервную копию.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe');
 TerminateProcessByName('c:\windows\media\long\certsvc.exe');
 StopService('WindowsCertificateService');
 QuarantineFile('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe', '');
 QuarantineFile('c:\windows\media\long\certsvc.exe', '');
 DeleteSchedulerTask('DRPNPS');
 DeleteFile('c:\users\mihail\appdata\local\temp\3\uvyzcdegii.exe', '');
 DeleteFile('C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe', '32');
 DeleteFile('C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe', '64');
 DeleteFile('c:\windows\media\long\certsvc.exe', '32');
 DeleteService('WindowsCertificateService');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '442462558', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '442462558', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
end.
Пожалуйста, перезагрузите компьютер вручную.

 

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [442462558] = C:\Users\Mihail\AppData\Local\Temp\3\UVYZCDEGII.exe
O4 - HKCU\..\Run: [CCleaner Smart Cleaning] = C:\Program Files\CCleaner\CCleaner64.exe /MONITOR (file missing)
O4 - HKCU\..\Run: [CommFort client] = C:\Program Files (x86)\CommFort\CommFort.exe -tray (file missing)
O4-32 - HKLM\..\Run: [871082] = 871082  (file missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1174\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1174\..\Environment: [TMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1299\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1299\..\Environment: [TMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1318\..\Environment: [TEMP] = (not exist)
O7 - TroubleShooting: (EV) HKU\S-1-5-21-2437220570-2756832553-1214048611-1318\..\Environment: [TMP] = (not exist)
O22 - Task: CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe (file missing)
O22 - Task: CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (file missing)
O26 - Debugger: HKLM\..\Magnify.exe: [Debugger] = C:\Windows\system32\cmd.exe
O26 - Debugger: HKLM\..\sethc.exe: [Debugger] = C:\Windows\vpnplugins\servicing\ibhost.exe
O26 - Debugger: HKLM\..\utilman.exe: [Debugger] = C:\Windows\system32\cmd.exe

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Черенов
      Зашифрованы диски на серверах BitLocker, все кроме системных. Помогите пожалуйста
      Автор Александр Черенов
      Добрый день. Прошу помощи. Ночью зашифровали все диски на 2-х серверах. Все диски кроме системных. Bitlocker. Ну и естественно оставили файл с требованием оплатить деньги на криптокошелек.( почта bitlockerlock.unlock@gmail.com и davidblaine@mail2world.com)
      На серверах было все - базы, бекапы, документы и т.д. Очень прошу помочь. Оплатим работы.
      Мой номер +7919893**** (ватсап, телега, звонки)
    • zimolev
      Зашифровали сервера шифровальщик Zeppelin
      Автор zimolev
      на Добрый день. Словили шифрователь Zeppelin. Назаписка.zipчалось все фтп сервера, перекинулось на многие другие, Рабочие машины не пострадали, Все произошло в ночь с 29 на 30 июня 2025
      зашифрованныеФайлы.zip Addition.txt FRST.txt
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
    • GLADvanger
      Зашифровали файлы на сервере.
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • alexander6624
      помогите пожалуйста удалить вирус.
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

×
×
  • Создать...