Перейти к содержанию

Windows Server 2008 подцепил шифровальщик

Близнец
 Share Подписчики 1

Рекомендуемые сообщения

Близнец

Близнец 0

Опубликовано
Опубликовано

Здравствуйте!

Подцепили вчера точно такого же шифровальщика.

Видать через RDP.

База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?

Addition.txt FRST.txt Зашифрованные файлы.zip

Ссылка на сообщение
Поделиться на другие сайты
Близнец

Близнец 0

Опубликовано
  • Автор
Опубликовано

Забыл написать dr web cureit нашел шесть файлов .259.ехе в разных папках с пометкой Trojan.Encoder.3953

Это наверно и был шифровальщик.

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки нет.

 

1 час назад, Близнец сказал:

нашел шесть файлов .259.ехе в разных папках

Он по-прежнему виден в логах.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [.259.exe] => C:\Windows\System32\.259.exe [94720 2020-10-29] () [File not signed]
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13913 2020-10-30] () [File not signed]
HKU\S-1-5-21-2079522519-528511511-1509269051-1005\...\Run: [.259.exe] => C:\Users\Admin\AppData\Roaming\.259.exe [94720 2020-10-30] () [File not signed]
HKU\S-1-5-21-2079522519-528511511-1509269051-1005\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13913 2020-10-30] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-30] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-30] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-29] () [File not signed]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-30] () [File not signed]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-30] () [File not signed]
2020-10-30 13:32 - 2020-10-30 13:32 - 000094720 _____ C:\Users\Admin\AppData\Roaming\.259.exe
2020-10-30 09:11 - 2020-10-30 09:11 - 000094720 _____ C:\Users\kassa\AppData\Roaming\.259.exe
2020-10-30 09:11 - 2020-10-30 09:11 - 000013913 _____ C:\Users\kassa\AppData\Roaming\Info.hta
2020-10-30 09:11 - 2020-10-30 09:11 - 000000166 _____ C:\Users\kassa\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-30 13:32 - 000013913 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2020-10-29 14:48 - 2020-10-30 13:32 - 000000166 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\FILES ENCRYPTED.txt
2020-10-29 14:46 - 2020-10-29 14:49 - 000094720 _____ C:\Windows\system32\.259.exe
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Два администратора - все ваши?

Цитата

Admin (S-1-5-21-2079522519-528511511-1509269051-1005 - Administrator - Enabled) => C:\Users\Admin
Adnin (S-1-5-21-2079522519-528511511-1509269051-1006 - Administrator - Enabled) => C:\Users\Adnin.SERVER

 

 

1 час назад, Близнец сказал:

Видать через RDP

Пароль смените.

Ссылка на сообщение
Поделиться на другие сайты
Близнец

Близнец 0

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь. Я dr web запускал уже после утилит. Я думаю скрипт не выполнять, т.к. все равно систему буду переустанавливать, извините что сразу не написал.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 months later...
Андрей Андроид

Андрей Андроид 0

Опубликовано
Опубликовано
30.10.2020 в 11:40, Близнец сказал:

Здравствуйте!

Подцепили вчера точно такого же шифровальщика.

Видать через RDP.

База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?

Addition.txtНедоступно FRST.txtНедоступно Зашифрованные файлы.zipНедоступно

Добрый день удалось ли восстановить бухгалтерскую базу?

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

@Андрей Андроид, здравствуйте!

По правилам этого раздела вы не можете писать в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Или спрашивайте через ЛС.

Закрыто.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Дмитрий_Дмитрий
      Помогите удалить вирус
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Jigglypuff
      [РЕШЕНО] Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
    • Dmitriyln
      Не могу открыть сайты с антивирусным ПО
      От Dmitriyln
      Не могу открыть сайты с антивирусным ПО. Провел проверку Dr.Web CureIt!, некоторые вирусы ПО не удалило. Компьютер работает не так быстро, как это было раньше. 
      CollectionLog-2024.04.15-22.11.zip
×
×
  • Создать...