crysis Windows Server 2008 подцепил шифровальщик

[Близнец]

Здравствуйте!

Подцепили вчера точно такого же шифровальщика.

Видать через RDP.

База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?

Addition.txt FRST.txt Зашифрованные файлы.zip

[Близнец]

Забыл написать dr web cureit нашел шесть файлов .259.ехе в разных папках с пометкой Trojan.Encoder.3953

Это наверно и был шифровальщик.

 

[Sandor]

Здравствуйте!

 

Расшифровки нет.

 

1 час назад, Близнец сказал:

нашел шесть файлов .259.ехе в разных папках

Он по-прежнему виден в логах.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [.259.exe] => C:\Windows\System32\.259.exe [94720 2020-10-29] () [File not signed]
  HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13913 2020-10-30] () [File not signed]
  HKU\S-1-5-21-2079522519-528511511-1509269051-1005\...\Run: [.259.exe] => C:\Users\Admin\AppData\Roaming\.259.exe [94720 2020-10-30] () [File not signed]
  HKU\S-1-5-21-2079522519-528511511-1509269051-1005\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13913 2020-10-30] () [File not signed]
  Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-30] () [File not signed]
  Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-30] () [File not signed]
  Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-29] () [File not signed]
  Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-30] () [File not signed]
  Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-30] () [File not signed]
  2020-10-30 13:32 - 2020-10-30 13:32 - 000094720 _____ C:\Users\Admin\AppData\Roaming\.259.exe
  2020-10-30 09:11 - 2020-10-30 09:11 - 000094720 _____ C:\Users\kassa\AppData\Roaming\.259.exe
  2020-10-30 09:11 - 2020-10-30 09:11 - 000013913 _____ C:\Users\kassa\AppData\Roaming\Info.hta
  2020-10-30 09:11 - 2020-10-30 09:11 - 000000166 _____ C:\Users\kassa\Desktop\FILES ENCRYPTED.txt
  2020-10-29 14:48 - 2020-10-30 13:32 - 000013913 _____ C:\Users\Admin\AppData\Roaming\Info.hta
  2020-10-29 14:48 - 2020-10-30 13:32 - 000000166 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
  2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
  2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
  2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
  2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\FILES ENCRYPTED.txt
  2020-10-29 14:46 - 2020-10-29 14:49 - 000094720 _____ C:\Windows\system32\.259.exe
  Reboot:
  End::

   

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Два администратора - все ваши?

Цитата

Admin (S-1-5-21-2079522519-528511511-1509269051-1005 - Administrator - Enabled) => C:\Users\Admin
Adnin (S-1-5-21-2079522519-528511511-1509269051-1006 - Administrator - Enabled) => C:\Users\Adnin.SERVER

 

 

1 час назад, Близнец сказал:

Видать через RDP

Пароль смените.

[Близнец]

Спасибо за помощь. Я dr web запускал уже после утилит. Я думаю скрипт не выполнять, т.к. все равно систему буду переустанавливать, извините что сразу не написал.

[Андрей Андроид]

30.10.2020 в 11:40, Близнец сказал:

Здравствуйте!

Подцепили вчера точно такого же шифровальщика.

Видать через RDP.

База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?

Addition.txtНедоступно FRST.txtНедоступно Зашифрованные файлы.zipНедоступно

Добрый день удалось ли восстановить бухгалтерскую базу?

[Sandor]

@Андрей Андроид, здравствуйте!

По правилам этого раздела вы не можете писать в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Или спрашивайте через ЛС.

Закрыто.