thanos Поймали шифровальщик qocktu

[Morozov84 0]

Добрый день! Поймали шифровальщик qocktu. Как добавить файлы?

шифровальщик.zip

Изменено 5 февраля пользователем Morozov84
Добавил архив

[Morozov84 0]

17 минут назад, Morozov84 сказал:

Добрый день! Поймали шифровальщик qocktu. Как добавить файлы?

шифровальщик.zip 928 kB · 0 загрузок

 

RESTORE_FILES_INFO.txt

[Sandor 896]

Здравствуйте!

 

Расшифровки этого типа вымогателя нет.

 

 

• Выделите следующий код:

  Start::
  File: C:\Users\Администратор.TROIKA\Documents\6666.exe
  File: C:\Users\TEMP\Documents\BitsArbitraryFileMoveExploit.exe
  Zip: C:\Windows\SysWOW64\mystartup.lnk
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время). Его тоже прикрепите к сообщению.

 

Подробнее читайте в этом руководстве.

[Morozov84 0]

19 минут назад, Sandor сказал:

Здравствуйте!

 

Расшифровки этого типа вымогателя нет.

 

 

• Выделите следующий код:

  
  Start::
  File: C:\Users\Администратор.TROIKA\Documents\6666.exe
  File: C:\Users\TEMP\Documents\BitsArbitraryFileMoveExploit.exe
  Zip: C:\Windows\SysWOW64\mystartup.lnk
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время). Его тоже прикрепите к сообщению.

 

Подробнее читайте в этом руководстве.

 

05.02.2021_10.20.12.zip Fixlog.txt

[Sandor 896]

Систему планируете переустанавливать или будем чистить?

[Morozov84 0]

чистить

 

[Sandor 896]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-638998395-1887532463-3483069576-500\...\MountPoints2: {7ec63be4-430d-11e8-bb8a-806e6f6e6963} - "F:\setup.exe" 
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\Users\adm\NTUSER.pol: Restriction <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  Policies: C:\Users\user1\NTUSER.pol: Restriction <==== ATTENTION
  Policies: C:\Users\Администратор.TROIKA\NTUSER.pol: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  2021-02-04 23:01 - 2021-02-05 02:37 - 000153088 _____ C:\Users\Администратор.TROIKA\Documents\6666.exe
  2021-02-04 23:01 - 2021-02-04 23:01 - 000000634 _____ C:\Windows\SysWOW64\mystartup.lnk
  2021-02-03 22:53 - 2021-02-03 17:54 - 000942592 _____ C:\Users\TEMP\Documents\BitsArbitraryFileMoveExploit.exe
  FirewallRules: [{F60397A2-0DA1-4C8E-9B2C-54B030BD0C5E}] => (Allow) LPort=475
  FirewallRules: [{4C511A31-DF02-4A7B-B3FE-7B875DA351A8}] => (Allow) LPort=475
  FirewallRules: [{921C8FB1-5541-4F2E-9C32-2BDA12B1617A}] => (Allow) LPort=1540
  FirewallRules: [{DB19FBCB-DCAF-4183-881B-DA5B3FBBBDDE}] => (Allow) LPort=1433
  Zip: c:\FRST\Quarantine\
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: newvirus@kaspersky.com

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пользователь user1 с правами администратора ваш?

Пароли на RDP смените.

[Morozov84 0]

Отправил на почту 

Fixlog.txt

[Sandor 896]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Morozov84 0]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 05.02.2021 16:08:32
Path starting: C:\Users\Администратор.TROIKA\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: администратор
VersionXML: 8.51is-03.02.2021
___________________________________________________________________________

Windows 10(6.3.14393) (x64) ServerStandard Версия: 1607 Lang: Russian(0419)
Дата установки ОС: 18.04.2018 13:42:55
Статус лицензии: Windows(R), ServerStandard edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: ФС: [NTFS] Емкость: [278.4 Гб] Занято: [124.3 Гб] Свободно: [154.1 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.4046.14393.0
Контроль учётных записей пользователя включен
Загружать автоматически и уведомлять об установке обновлений
Удаленный реестр (RemoteRegistry) - Служба работает
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба работает
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 6.3.1.2 v.6.3.1.2 Внимание! Скачать обновления
TeamViewer v.15.3.8497 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00
Total Commander
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI - Russian v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.88.0.4324.146
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\MsMpEng.exe v.4.18.2011.6
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2011.6-0\NisSrv.exe v.4.18.2011.6
C:\Program Files\Windows Defender\MSASCui.exe v.4.10.14393.4169
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.10.14393.4169
Служба Защитника Windows (WinDefend) - Служба работает
Служба проверки сети Защитника Windows (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 

SecurityCheck.txt

Изменено 5 февраля пользователем Morozov84

[Sandor 896]

На заметку - Рекомендации после удаления вредоносного ПО

[Anton Stepanov 0]

Ребята, оочень срочно!!! помогите расшифровать mdf базы 1с8. 

 

Addition.txt FRST.txt

[Sandor 896]

@Anton Stepanov, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Эта тема закрыта.