Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Сервер 1с словил вирус-шифровальщик. Остальные компьютеры в локальной сети были проверены, данный вирус туда не попал.

На рабочем столе было 5 окон с одним из стандартных сообщений о шифровании данных и связи по эл. почте для из расшифровке.

Во вложении 1. пример зашифрованного файла, 2. архив с предполагаемым телом вируса (winhost.exe - расширение изменено на .virus). 3. архив с логом системы.

Помогите расшифровать данные, если это возможно

Winhost.virus.rar Поддержка.txt.id-C25CA468.[r3ad4@aol.com].r3f5s CollectionLog-2020.06.11-16.23.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте! 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\1c\AppData\Roaming\Info.hta','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\1c\AppData\Roaming\Info.hta','x32');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Economist\AppData\Roaming\Info.hta','64');
 DeleteFile('C:\Users\1c\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\1c\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Economist\AppData\Roaming\Info.hta','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 
 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
  • 3 weeks later...
18.06.2020 в 08:51, mike 1 сказал:

Сделайте новые логи Автологгером. 

Добрый день!

Скрипт выполнил,CollectionLog-2020.07.17-09.36.zip новые логи во вложении

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
  • 2 months later...
  • 1 month later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Hoarrr
      Доброго времени суток!
      Последний Kaspersky Total Security постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen. Выбор опции лечение с перезагрузкой не помогает. KTS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти то находит MEM:Trojan.Win32.SEPEH.gen, то не находит, будто бы через раз это делает.
    • От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • От nikvoskanyan
      здравствуйте, плохо работал и выключался компьютер, процентов на 30 больше обычного была нагружена оперативная память, антивирусные сайты не запускались. Смог скачать kvrt, но кнопка проверки не нажималась, получилось запустить cureit, выполнить проверку и удалить троян. Оперативная память больше не нагружена, сайты запускаются, но kvrt и другие продукты касперского все еще не работают. 
      CollectionLog-2020.11.25-14.36.zip
    • От mirror1
      Доброго дня.
      Сорян , если тему скинул не в тот раздел , не шарю в этом
      В общем , есть файлы : 1.exe , 2.exe - это своего рода приватный софт  , скинутый мне на проверку, перед покупкой(он писался не лично для меня. Распространяется узкому кругу лиц по знакомству)
      закинул я их значит на VT и вижу это :
      Это 1.exe - https://prnt.sc/vnrbh7
      Это 2.exe - https://prnt.sc/vnrb4x

      Теперь сомневаюсь в покупке, может кто-то объяснить что там?
      Я в этом 0
       
      Сообщение от модератора kmscom Тема перенесена из раздела Помощь в удалении вирусов  
    • От nikita_shs
      Здравствуйте, не устанавливается антивирус, судя по диспетчеру задач он после открытия сразу закрывается, нашел в файле хост заблокированные сайт антивирусов и форумов, все почистил, доктором вебом удалил вирусы но касперский все равно не устанавливается, также в стандартном антивирусе виндовс в исключении находится 3 папки, которые никак не удаляются от туда 
      Прикладываю логи
       
      CollectionLog-2020.11.23-19.55.zip
×
×
  • Создать...