Перейти к содержанию
Сезон прогнозов — 2020!

Windows Server 2008 подцепил шифровальщик

Близнец
 Share Подписчики 1

Рекомендуемые сообщения

Близнец

Близнец 0

Опубликовано
Опубликовано

Здравствуйте!

Подцепили вчера точно такого же шифровальщика.

Видать через RDP.

База 1С накрылась. Есть ли какой-нибудь шанс спасти данные?

Addition.txt FRST.txt Зашифрованные файлы.zip

Ссылка на сообщение
Поделиться на другие сайты
Близнец

Близнец 0

Опубликовано
  • Автор
Опубликовано

Забыл написать dr web cureit нашел шесть файлов .259.ехе в разных папках с пометкой Trojan.Encoder.3953

Это наверно и был шифровальщик.

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 845

Опубликовано
Опубликовано

Здравствуйте!

 

Расшифровки нет.

 

1 час назад, Близнец сказал:

нашел шесть файлов .259.ехе в разных папках

Он по-прежнему виден в логах.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKLM\...\Run: [.259.exe] => C:\Windows\System32\.259.exe [94720 2020-10-29] () [File not signed]
HKLM\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13913 2020-10-30] () [File not signed]
HKU\S-1-5-21-2079522519-528511511-1509269051-1005\...\Run: [.259.exe] => C:\Users\Admin\AppData\Roaming\.259.exe [94720 2020-10-30] () [File not signed]
HKU\S-1-5-21-2079522519-528511511-1509269051-1005\...\Run: [C:\Users\Admin\AppData\Roaming\Info.hta] => C:\Users\Admin\AppData\Roaming\Info.hta [13913 2020-10-30] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-30] () [File not signed]
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-30] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-29] () [File not signed]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.259.exe [2020-10-30] () [File not signed]
Startup: C:\Users\kassa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-10-30] () [File not signed]
2020-10-30 13:32 - 2020-10-30 13:32 - 000094720 _____ C:\Users\Admin\AppData\Roaming\.259.exe
2020-10-30 09:11 - 2020-10-30 09:11 - 000094720 _____ C:\Users\kassa\AppData\Roaming\.259.exe
2020-10-30 09:11 - 2020-10-30 09:11 - 000013913 _____ C:\Users\kassa\AppData\Roaming\Info.hta
2020-10-30 09:11 - 2020-10-30 09:11 - 000000166 _____ C:\Users\kassa\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-30 13:32 - 000013913 _____ C:\Users\Admin\AppData\Roaming\Info.hta
2020-10-29 14:48 - 2020-10-30 13:32 - 000000166 _____ C:\Users\Admin\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-10-29 14:48 - 2020-10-29 14:49 - 000000166 _____ C:\FILES ENCRYPTED.txt
2020-10-29 14:46 - 2020-10-29 14:49 - 000094720 _____ C:\Windows\system32\.259.exe
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Два администратора - все ваши?

Цитата

Admin (S-1-5-21-2079522519-528511511-1509269051-1005 - Administrator - Enabled) => C:\Users\Admin
Adnin (S-1-5-21-2079522519-528511511-1509269051-1006 - Administrator - Enabled) => C:\Users\Adnin.SERVER

 

 

1 час назад, Близнец сказал:

Видать через RDP

Пароль смените.

Ссылка на сообщение
Поделиться на другие сайты
Близнец

Близнец 0

Опубликовано
  • Автор
Опубликовано

Спасибо за помощь. Я dr web запускал уже после утилит. Я думаю скрипт не выполнять, т.к. все равно систему буду переустанавливать, извините что сразу не написал.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Hoarrr
      MEM:Trojan.Win32.SEPEH.gen не удаляется
      От Hoarrr
      Доброго времени суток!
      Последний Kaspersky Total Security постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen. Выбор опции лечение с перезагрузкой не помогает. KTS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти то находит MEM:Trojan.Win32.SEPEH.gen, то не находит, будто бы через раз это делает.
    • Den1xxx
      Помогите с расшифровкой.
      От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • nikvoskanyan
      не запускаются продукты касперского
      От nikvoskanyan
      здравствуйте, плохо работал и выключался компьютер, процентов на 30 больше обычного была нагружена оперативная память, антивирусные сайты не запускались. Смог скачать kvrt, но кнопка проверки не нажималась, получилось запустить cureit, выполнить проверку и удалить троян. Оперативная память больше не нагружена, сайты запускаются, но kvrt и другие продукты касперского все еще не работают. 
      CollectionLog-2020.11.25-14.36.zip
    • Irridis
      Несколько компьютеров сети заражены трояном Harma
      От Irridis
      Несколько компьютеров в сети заразились ночью шифровальщиком, расширение файлов "*.harma", вот пример названия файла: № 1.doc.id-389DDA88.[BTC_dharma@gmx.de].harma, кто нибудь знает как расшифровать?
       
      Используется Kaspersky Endpoint Security
    • mirror1
      Вопрос по VirusTotal
      От mirror1
      Доброго дня.
      Сорян , если тему скинул не в тот раздел , не шарю в этом
      В общем , есть файлы : 1.exe , 2.exe - это своего рода приватный софт  , скинутый мне на проверку, перед покупкой(он писался не лично для меня. Распространяется узкому кругу лиц по знакомству)
      закинул я их значит на VT и вижу это :
      Это 1.exe - https://prnt.sc/vnrbh7
      Это 2.exe - https://prnt.sc/vnrb4x

      Теперь сомневаюсь в покупке, может кто-то объяснить что там?
      Я в этом 0
       
      Сообщение от модератора kmscom Тема перенесена из раздела Помощь в удалении вирусов  
×
×
  • Создать...