Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Нарвались на шифровальщика. Kaspersky был удален вирусом и все файлы включая ярлыки и программные файлы зашифрованы. Есть ли возможность восстановить данные?

1C Предприятие.lnk[reddragon000@protonmail.com_sel1][654274708-1591832356].ibt

CollectionLog-2020.06.12-10.12.zip

Изменено пользователем triadax
Ссылка на сообщение
Поделиться на другие сайты

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

 

O4-32 - HKLM\..\Run: [3449369] = 3449369  (file missing)
O22 - Task: BCBoot - C:\Windows\system32\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
O22 - Task: BCRecover - C:\Windows\system32\bcdedit.exe /set {default} recoveryenabled No
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.exe DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.exe DELETE SYSTEMSTATEBACKUP -keepVersions:0

 

Сделайте новые логи

Ссылка на сообщение
Поделиться на другие сайты
12.06.2020 в 11:48, mike 1 сказал:

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

 


O4-32 - HKLM\..\Run: [3449369] = 3449369  (file missing)
O22 - Task: BCBoot - C:\Windows\system32\bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
O22 - Task: BCRecover - C:\Windows\system32\bcdedit.exe /set {default} recoveryenabled No
O22 - Task: VssDataRestore - C:\Windows\system32\vssadmin.exe delete shadows /all /quiet
O22 - Task: WBadminBackupRestore - C:\Windows\system32\wbadmin.exe DELETE BACKUP -keepVersions:0
O22 - Task: WBadminSystemRestore - C:\Windows\system32\wbadmin.exe DELETE SYSTEMSTATEBACKUP -keepVersions:0

 

Сделайте новые логи

 

Сделал.

 

CollectionLog-2020.06.15-10.01.zip

Изменено пользователем triadax
Ссылка на сообщение
Поделиться на другие сайты

triadax,  Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
15 часов назад, mike 1 сказал:

triadax,  Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

Готово.

Addition.txt FRST.txt

Изменено пользователем triadax
Ссылка на сообщение
Поделиться на другие сайты

Сами блокировали политиками безопасности запуск антивируса?

 

Цитата

HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\NETWORKAGENT\KLNAGENT.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\AVPSUS.EXE <==== ATTENTION

 

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, mike 1 сказал:

Сами блокировали политиками безопасности запуск антивируса?

 

 

 

Нет. Антивирус был деактивирован вирусом, а каталоги с логами Касперского пусты. На двух машинах 0 мб, на одной 10 кб, видимо не успел до конца отработать. Антивирус KES 10 стоит на всех машинах и управляется через Kaspersky cecurity center.

Ссылка на сообщение
Поделиться на другие сайты

Пароль на настройки антивируса политикой был задан? 

 

Цитата

Kaspersky Endpoint Security 10 для Windows (HKLM-x32\...\{7A4192A1-84C4-4E90-A31B-B4847CA8E23A}) (Version: 10.2.6.3733 - "Лаборатория Касперского")

10 июля этого года поддержка этой версии будет прекращена полностью (перестанут выпускать базы). 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\NETWORKAGENT\KLNAGENT.EXE <==== ATTENTION
    HKLM Group Policy restriction on software: C:\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS SP1\AVPSUS.EXE <==== ATTENTION
    Task: {F33B650B-9D56-4C41-9AB1-F7BECB1CC384} - System32\Tasks\WMICRestore => wmic SHADOWCOPY DELETE
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, mike 1 сказал:

Пароль на настройки антивируса политикой был задан? 

 

Само собой.

 

Я извиняюсь, но сервер нужно было срочно вернуть в работу, поэтому выполнить скрипт не смогу.

 

Снял логи с пользовательской машины, та же беда.

CollectionLog-2020.06.18-14.41.zip FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Амир
      Добрый вечер! Поймал вирус, в этот момент был установлен KTS, он сразу начал лечить, обнаружил кучу троянов и майнер, ну я и думал, что проблема прошла. Однако у меня не скачивались файлы в браузере и вообще компьютер странно себя вёл. Решил переустановить антивирус, и тут столкнулся с описанной в заголовке проблемой. Огромное спасибо всему вашему коммьюнити)
       
      К тому же видимо у меня украли пароли, хранящиеся в системе, т.к. кто-то пытался войти в мой вк, однако двухфакторка не дала. Через консоль обнаружил стороннюю учётную запись 'john', прямо как год назад) Однако теперь командой /delete она не удаляется, мол, не достаточно прав
      CollectionLog-2020.11.30-22.46.zip
    • От galik
      Не с того не с чего KIS вдруг выдал что у меня в системной памяти троян ,после лечения с перезагрузкой.Проверил с помощью AutoLogger-test.


      CollectionLog-2020.11.28-18.14.zip
    • От Александр Алексеев
      Добрый день. Дети долгое время пользовались ноутбуком и нахватали вирусов.  Вставил в ноут свою флэшку и все файлы превратились в ярлыки. Помогите пожалуйста удалить вирусы с ноутбука и востановить файлы.
      CollectionLog-2020.11.26-18.11.zip
    • От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • От Hoarrr
      Доброго времени суток!
      Последний Kaspersky Total Security постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen. Выбор опции лечение с перезагрузкой не помогает. KTS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти то находит MEM:Trojan.Win32.SEPEH.gen, то не находит, будто бы через раз это делает.
×
×
  • Создать...