Перейти к содержанию

Шифровальщик [reddragon000@protonmail.com]

triadax
 Поделиться

Рекомендуемые сообщения

triadax

triadax

Опубликовано
Опубликовано (изменено)

Здравствуйте. Нарвались на шифровальщика. Kaspersky был удален вирусом и все файлы включая ярлыки и программные файлы зашифрованы. Есть ли возможность восстановить данные?

1C Предприятие.lnk[reddragon000@protonmail.com_sel1][654274708-1591832356].ibt

CollectionLog-2020.06.12-10.12.zip

Изменено пользователем triadax
mike 1

mike 1

Опубликовано
Опубликовано

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

  

O4-32 - HKLM\..\Run: [3449369] = 3449369  (file missing)
O22 - Task: BCBoot - C:\Windows\system32\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
O22 - Task: BCRecover - C:\Windows\system32\bcdedit.exe /set {default} recoveryenabled No
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.exe DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.exe DELETE SYSTEMSTATEBACKUP -keepVersions:0

 

Сделайте новые логи

triadax

triadax

Опубликовано
  • Автор
Опубликовано (изменено)
12.06.2020 в 11:48, mike 1 сказал:

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

  


O4-32 - HKLM\..\Run: [3449369] = 3449369  (file missing)
O22 - Task: BCBoot - C:\Windows\system32\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
O22 - Task: BCRecover - C:\Windows\system32\bcdedit.exe /set {default} recoveryenabled No
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.exe DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.exe DELETE SYSTEMSTATEBACKUP -keepVersions:0

 

Сделайте новые логи

 

Сделал.

 

CollectionLog-2020.06.15-10.01.zip

Изменено пользователем triadax
mike 1

mike 1

Опубликовано
Опубликовано

triadax,  Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
triadax

triadax

Опубликовано
  • Автор
Опубликовано (изменено)
15 часов назад, mike 1 сказал:

triadax,  Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

Готово.

Addition.txt FRST.txt

Изменено пользователем triadax
mike 1

mike 1

Опубликовано
Опубликовано

Сами блокировали политиками безопасности запуск антивируса?

 

Цитата

HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\NETWORKAGENT\KLNAGENT.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\AVPSUS.EXE <==== ATTENTION

 

triadax

triadax

Опубликовано
  • Автор
Опубликовано
11 часов назад, mike 1 сказал:

Сами блокировали политиками безопасности запуск антивируса?

 

 

 

Нет. Антивирус был деактивирован вирусом, а каталоги с логами Касперского пусты. На двух машинах 0 мб, на одной 10 кб, видимо не успел до конца отработать. Антивирус KES 10 стоит на всех машинах и управляется через Kaspersky cecurity center.

mike 1

mike 1

Опубликовано
Опубликовано

Пароль на настройки антивируса политикой был задан? 

 

Цитата

Kaspersky Endpoint Security 10 для Windows (HKLM-x32\...\{7A4192A1-84C4-4E90-A31B-B4847CA8E23A}) (Version: 10.2.6.3733 - "Лаборатория Касперского")

10 июля этого года поддержка этой версии будет прекращена полностью (перестанут выпускать базы). 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\NETWORKAGENT\KLNAGENT.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\AVPSUS.EXE <==== ATTENTION
Task: {F33B650B-9D56-4C41-9AB1-F7BECB1CC384} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

triadax

triadax

Опубликовано
  • Автор
Опубликовано
17 часов назад, mike 1 сказал:

Пароль на настройки антивируса политикой был задан? 

 

Само собой.

 

Я извиняюсь, но сервер нужно было срочно вернуть в работу, поэтому выполнить скрипт не смогу.

 

Снял логи с пользовательской машины, та же беда.

CollectionLog-2020.06.18-14.41.zip FRST.txt Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

Для другого АРМ создайте новую тему.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
    • bl1nchik2287
      [РЕШЕНО] Вирус после kms-auto
      Автор bl1nchik2287
      Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.
      FRST.txt Addition.txt
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
×
×
  • Создать...