Перейти к содержанию

Рекомендуемые сообщения

Всем доброго здоровья.

 

Вот-с, подхватил шифровальщика. CureIt, KVRT проверял. Штатно стоит AvastFree.

RDP заблокировал, пока буду лечиться. Пароли поменяю.

 

 

CollectionLog-2019.06.01-21.25.zip

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.
Ссылка на сообщение
Поделиться на другие сайты

Порты сами открывали?

 

FirewallRules: [{0F892D2E-1077-47FD-B123-2779DF4B9653}] => (Allow) LPort=27055

FirewallRules: [{BA2BC093-696C-4B04-950D-F833033C0E80}] => (Allow) LPort=27055

FirewallRules: [{561B81F7-9685-4CD2-932B-F265EBF27A42}] => (Allow) LPort=3389

Не ответили

 

RDP Wrapper Library сами себе ставили?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
Start::
CreateRestorePoint:
VirusTotal: C:\Program Files (x86)\winbox.exe
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> No File
FirewallRules: [{25545344-7FB1-44DA-9616-57BE9283CE3E}] => (Allow) C:\Program Files\BitComet\BitComet.exe No File
FirewallRules: [{38A46FDD-5443-4A0F-9A40-A16DCD348CF7}] => (Allow) C:\Program Files\BitComet\BitComet.exe No File
FirewallRules: [{FF24CBD0-5902-4DBF-9539-3B351A8EA9B9}] => (Allow) D:\Programm\bitcomet\BitComet.exe No File
FirewallRules: [{A7958B15-5C6B-4CE1-B46D-FA83756DC603}] => (Allow) D:\Programm\bitcomet\BitComet.exe No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку через личный кабинет.

Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты

Тогда уберите разрешение для порта или лучше скриптом закрыть?

 

 

Подготовьте лог лог SecurityCheck by glax24

Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты

Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19236 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------------- [ IM ] ----------------------------------
QIP 2005 8100 v.8100 Данная программа больше не поддерживается разработчиком.
Viber v.6.9.0.1048 Внимание! Скачать обновления
^Необязательное обновление.^
------------------------------- [ Browser ] -------------------------------
SRWare Iron (64-Bit), версия 74.0.3850.0 v.74.0.3850.0 Внимание! Скачать обновления
SRWare Iron, версия 67.0.3500.0 v.67.0.3500.0 Внимание! Скачать обновления

 

 

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...