Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Нарвались на шифровальщика. Kaspersky был удален вирусом и все файлы включая ярлыки и программные файлы зашифрованы. Есть ли возможность восстановить данные?

1C Предприятие.lnk[reddragon000@protonmail.com_sel1][654274708-1591832356].ibt

CollectionLog-2020.06.12-10.12.zip

Изменено пользователем triadax
Ссылка на сообщение
Поделиться на другие сайты

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

 

O4-32 - HKLM\..\Run: [3449369] = 3449369  (file missing)
O22 - Task: BCBoot - C:\Windows\system32\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
O22 - Task: BCRecover - C:\Windows\system32\bcdedit.exe /set {default} recoveryenabled No
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.exe DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.exe DELETE SYSTEMSTATEBACKUP -keepVersions:0

 

Сделайте новые логи

Ссылка на сообщение
Поделиться на другие сайты
12.06.2020 в 11:48, mike 1 сказал:

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

 


O4-32 - HKLM\..\Run: [3449369] = 3449369  (file missing)
O22 - Task: BCBoot - C:\Windows\system32\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
O22 - Task: BCRecover - C:\Windows\system32\bcdedit.exe /set {default} recoveryenabled No
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.exe DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.exe DELETE SYSTEMSTATEBACKUP -keepVersions:0

 

Сделайте новые логи

 

Сделал.

 

CollectionLog-2020.06.15-10.01.zip

Изменено пользователем triadax
Ссылка на сообщение
Поделиться на другие сайты

triadax,  Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
15 часов назад, mike 1 сказал:

triadax,  Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

Готово.

Addition.txt FRST.txt

Изменено пользователем triadax
Ссылка на сообщение
Поделиться на другие сайты

Сами блокировали политиками безопасности запуск антивируса?

 

Цитата

HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\NETWORKAGENT\KLNAGENT.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\AVPSUS.EXE <==== ATTENTION

 

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, mike 1 сказал:

Сами блокировали политиками безопасности запуск антивируса?

 

 

 

Нет. Антивирус был деактивирован вирусом, а каталоги с логами Касперского пусты. На двух машинах 0 мб, на одной 10 кб, видимо не успел до конца отработать. Антивирус KES 10 стоит на всех машинах и управляется через Kaspersky cecurity center.

Ссылка на сообщение
Поделиться на другие сайты

Пароль на настройки антивируса политикой был задан? 

 

Цитата

Kaspersky Endpoint Security 10 для Windows (HKLM-x32\...\{7A4192A1-84C4-4E90-A31B-B4847CA8E23A}) (Version: 10.2.6.3733 - "Лаборатория Касперского")

10 июля этого года поддержка этой версии будет прекращена полностью (перестанут выпускать базы). 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\NETWORKAGENT\KLNAGENT.EXE <==== ATTENTION
    HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\AVPSUS.EXE <==== ATTENTION
    Task: {F33B650B-9D56-4C41-9AB1-F7BECB1CC384} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, mike 1 сказал:

Пароль на настройки антивируса политикой был задан? 

 

Само собой.

 

Я извиняюсь, но сервер нужно было срочно вернуть в работу, поэтому выполнить скрипт не смогу.

 

Снял логи с пользовательской машины, та же беда.

CollectionLog-2020.06.18-14.41.zip FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От megabublik
      Windows Server 2008, схватили шифровальщик который зашифровал все файлы и попросил денег:( Требуется помощь в решении проблемы. Пользователи на этой системе фактически не работают, видимо просочился через RDP или еще какую-нибудь уязвимость...
       

      CollectionLog-2020.10.29-11.48.zip
    • От Romantryagain
      Здравствуйте, несколько дней назад комп начал виснуть, решил авз скачать проверить, он мне выдал что-то там о backdoor win32, поэтому решил обратиться к вам за помощью, прилагаю лог.
      CollectionLog-2020.10.27-15.47.zip
    • От Рома_Пресскард
      Доброго дня.
      Компьютер у которого закрыты все порты кроме RDP зашифровал вирус. Пароли не 123 конечно же.
      Приложить лог Farbar Recovery Scan Tool нет возможности, сервер не запускается.
      Вытянули файлы, прикладываю 2 зашифрованых файла и текстовый с требованиями.
      Помогите с расшифровкой пожалуйста.
      1Cv77.zip
    • От AlexRus
      KVRT открывается, но не работает кнопка "начать сканирование". Запускался cureit, но ничего не нашел.  Ни один антивирус не устанавливается.
    • От Ytkaaa
      Здравствуйте, возник вопрос, были подозрения на вирус на компьютере(после переустановил windows), кроме него в домашней сети только мобильные устройства(iOS), роутер и тв-приставка(Android), мог ли вирус как-то остаться в сети? и если да то как проверить это?
×
×
  • Создать...