Перейти к содержанию

Поймали crypted000007


Рекомендуемые сообщения

Доброго времени суток. По почте получили "подарок" вирус. Итог всё зашифровано и тестовый файл с требованием денег. Логи во вложении. Очень надо восстановить 1с.

CollectionLog-2019.03.12-20.09.zip

Ссылка на комментарий
Поделиться на другие сайты

Что-то поздно Вы антивирус поставили. До этого сидели без антивируса?

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус и прочее ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
2019-03-08 17:31 - 2019-03-12 19:18 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2019-03-08 17:31 - 2019-03-12 19:18 - 000000000 __SHD C:\ProgramData\SysWOW64
2019-03-08 17:31 - 2019-03-12 18:36 - 000000000 __SHD C:\Users\Все пользователи\services
2019-03-08 17:31 - 2019-03-12 18:36 - 000000000 __SHD C:\Users\Все пользователи\Resources
2019-03-08 17:31 - 2019-03-12 18:36 - 000000000 __SHD C:\ProgramData\services
2019-03-08 17:31 - 2019-03-12 18:36 - 000000000 __SHD C:\ProgramData\Resources
2019-03-08 17:31 - 2019-03-08 17:31 - 006220854 _____ C:\Users\Дом\AppData\Roaming\63B81FB663B81FB6.bmp
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README8.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README7.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README6.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README5.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README4.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README3.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README2.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README10.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Дом\Desktop\README1.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README9.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README8.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README7.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README6.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README5.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README4.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README3.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README2.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README10.txt
2019-03-08 17:31 - 2019-03-08 17:31 - 000004150 _____ C:\Users\Public\Desktop\README1.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README9.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README8.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README7.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README6.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README5.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README4.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README3.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README2.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README10.txt
2019-03-08 16:56 - 2019-03-08 16:56 - 000004150 _____ C:\README1.txt
2019-03-08 08:34 - 2019-03-12 18:36 - 000000000 __SHD C:\Users\Все пользователи\Windows
2019-03-08 08:34 - 2019-03-12 18:36 - 000000000 __SHD C:\ProgramData\Windows
2016-12-01 21:17 - 2016-12-01 21:17 - 000000000 _____ () C:\Users\Дом\AppData\Roaming\mail.log
2019-03-12 22:31 - 2019-03-12 22:31 - 000005120 ___SH () C:\Users\Дом\AppData\Roaming\Thumbs.db



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alexlaev
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • user344
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Vklass
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Snedikk
      Автор Snedikk
      Добрый день! 
      Поймал вирус-майнер tool.btcmine.2812. Недавно был похожий троян, но по рекомендациям с данного форума удалось его удалить посредством утилиты AVZ. Затем какое-то время все было хорошо. Сегодня решил проверить комп на наличие вирусов утилитой DrWeb CureIt и сия програмка показала наличие вредоносного червячка. Пробовал удалять его самой утилитой от DrWeb, но после перезагрузки он восстанавливается и все приходится делать снова. По инструкции просканировал комп и логи прикладываю к теме. Будьте добры помочь, люди. Заранее огромная благодарность
      CollectionLog-2025.06.20-19.07.zip

    • DanilDanil
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
×
×
  • Создать...