Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

milleni5000 закодировал под Windows7

Denytto
 Поделиться

Рекомендуемые сообщения

Denytto Новичок

Denytto

Опубликовано
Опубликовано

кодировщик выборочно перекодировал файлы на машине в домашней сети, куда сбрасывали фото и другое медиа. Ценность только как фото и видео детей.

Я так понял, что с данными можно попрощаться?

сам скрипт я так понял в useful.exe?

Как вычистить хвосты, в таком случае?

Интересно, что на машинHelp.7zе никто не работал. Просто в воскресенье откуда-то проснулся троян... видимо. откатить назад машину не дал - не было видимой точки до троянца.

Заранее спасибо.

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Файл RESTORE_FILES_INFO.txt тоже прикрепите к следующему сообщению.

 

Логи собирали из безопасного режима. Удалите их и соберите из нормального.

 

Предварительно попробуйте пролечить систему с помощью KVRT.

Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Деинсталлируйте через Панель управления нежелательное ПО:

Цитата

 

Advanced SystemCare Pro

Driver Booster 8

IObit Uninstaller 10

Smart Defrag 4

 

 

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [da51e1af-a2db-4e60-b8c5-eb084efc10e2] => "C:\Users\Svetik\AppData\Local\Temp\{ff8860a0-1ea2-42bb-9411-70f0e544a5a9}\da51e1af-a2db-4e60-b8c5-eb084efc10e2.cmd" <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Denis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-03-14]
ShortcutTarget: mystartup.lnk -> C:\Users\Svetik\AppData\Local\Temp\RESTORE_FILES_INFO.txt () [Файл не подписан] [Файл уже используется]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\1server.ACER9815\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Denis\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Svetik\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1F44602D-8ED6-4A8D-ADE8-8846202AF589} - System32\Tasks\SpyHunter4 => C:\Program Files (x86)\SpyHunter\SpyHunter4.exe [8218296 2017-07-13] (Enigma Software Group USA, LLC -> Enigma Software Group USA, LLC.) [Файл не подписан]
Task: {458B9170-827D-4264-B880-616FF0D816EB} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\8.3.0\AutoUpdate.exe [2268432 2020-12-23] (IObit Information Technology -> IObit)
Task: {850EA98E-A3D9-49A5-881B-4790F9C031B8} - System32\Tasks\ASC12_SkipUac_Valentina => C:\Program Files (x86)\Advanced SystemCare Pro\ASC.exe [8801040 2020-01-08] (IObit Information Technology -> IObit) [Файл не подписан] [Файл уже используется]
Task: {9D981632-C3ED-4BE7-88C2-92EB2800D18B} - System32\Tasks\Uninstaller_SkipUac_Denis => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe [6435088 2020-08-19] (IObit Information Technology -> IObit)
Task: {AF699081-A972-4584-AAA6-978ED3843D96} - \Inst_Rep -> Нет файла <==== ВНИМАНИЕ
Task: {D305DCA6-E2C4-4050-AC67-A9653FE9AABA} - System32\Tasks\ASC12_SkipUac_Denis => C:\Program Files (x86)\Advanced SystemCare Pro\ASC.exe [8801040 2020-01-08] (IObit Information Technology -> IObit) [Файл не подписан] [Файл уже используется]
Task: {D81EB013-F1E9-459D-9513-186B9F0C08AC} - System32\Tasks\ASC_SkipUac_Denis => C:\Program Files (x86)\Advanced SystemCare Pro\ASC.exe [8801040 2020-01-08] (IObit Information Technology -> IObit) [Файл не подписан] [Файл уже используется]
Task: {F98B2B1A-6958-49BD-A2DD-820C2435F8B2} - System32\Tasks\Driver Booster SkipUAC (Denis) => C:\Program Files (x86)\IObit\Driver Booster\8.3.0\DriverBooster.exe [8152016 2021-02-03] (IObit Information Technology -> IObit)
Task: C:\Windows\Tasks\SpyHunter4.job => C:\Program Files (x86)\SpyHunter\SpyHunter4.exe
S4 Windows Host Service; C:\Windows\system32\Windows Host Service\WindowsHostService.exe [12800 2020-04-18] () [Файл не подписан] [Файл уже используется]
C:\Windows\system32\Windows Host Service\WindowsHostService.exe
Toolbar: HKU\S-1-5-21-691817225-334091049-3898403143-1000 -> Нет имени - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  Нет файла
FirewallRules: [{B9D19086-806C-4D2D-BAC0-F3043D32131C}] => (Allow) LPort=8613
FirewallRules: [{72A502A3-35EE-4899-B8AE-391BEAEC03F1}] => (Allow) LPort=445
FirewallRules: [{86181085-72B0-4AE5-B6E2-D151F409CC0B}] => (Allow) LPort=3389
Zip: c:\FRST\Quarantine\
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

С расшифровкой помочь не сможем, к сожалению.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Denytto Новичок

Denytto

Опубликовано
  • Автор
Опубликовано

При попытке запустить программу пишет - "ошибка подключения к интернету"

Ни брандмауэра ни антивира нет. Видимо вирус похозяйничал.

Я не могу даже в безопасном режиме загрузиться...

Поэтому лог от локальной базы.

SecurityCheck.txt

в любом случае, спасибо, что пытались помочь

если нет расшифровки, то ничего дальше делать не надо.

спасу оставшиеся файлы данных вставив диск в линукс машину.

а эту систему - в утиль.

Раз нельзя поставить 10ю винду, поставлю Линукс.

Слишком машина дорога, как память...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • МониторингДенис
      Фаил базы 1С закодирован трояном HELLOKITTY - s5yRN. База нужна. ЧТО ДЕЛАТЬ?
      Автор МониторингДенис
      Добрый день!
      Файл базы 1С (и не только базы) закодирован трояном HELLOKITTY - s5yRN. База нужна. ЧТО ДЕЛАТЬ?
       
      При открытии любого текстового файла пишут:
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by HELLO KITTY
      Your decryption ID is s5yRNcg5Npu5QjR2ZmQul85mAlUaR4JH38PnjzRmxX4*HELLO KITTY-s5yRNcg5Npu5QjR2ZmQul85mAlUaR4JH38PnjzRmxX4
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - benzamin@tuta.io
      2) Telegram - @DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
    • drozd761
      [РАСШИФРОВАНО] CryLock на вирт машине, файлы шары все закодированы, объем файлов сумасшедший, до 1 ТБ
      Автор drozd761
      Запустили арендаторов в офис, включили их к общей сети и через неделю словили шифровальщика. 

      Все компы в офисе целы и не затронуты, а вот все файлы на шаре samba полностью закодировались, в каждой папке появился exe файл где предлагают связаться с Hopeandhonest@smime.ninja

      Пишу с компа который вывезли из офиса, не знаю насколько логи помогут 
      Addition.txt FRST.txt 8. Лужники.rar
×
×
  • Создать...