Перейти к содержанию

пробрался шифровальщик. прикрепляет к файлам почту honestandhope@qq.com


Рекомендуемые сообщения

Добрый день. Проник шифровальщик 16.07.2021 через  RDP. примерно в 15-48. Вовремя было замечено. Компьютер отключен от сети. была замечена папка ocp с установленной программой everything. Были подключены сетевые диски ко всем расшаренным по сети папкам. Все было срочно удалено.

Успели зашифровать только файлы BOOTSECT  BOOTSTAT в скрытом разделе А: они были удалены. Были установлены обновления.

Помогите пожалуйста очистить компьютер от мусора. Логи прикрепляю

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {2b03cfe7-6f13-11e8-8766-806e6f6e6963} - D:\Run.exe
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {750bb97a-6f0e-11e8-844b-1c1b0dce044b} - D:\AltiumDesigner17Setup.exe
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1000\...\MountPoints2: {750bb97e-6f0e-11e8-844b-1c1b0dce044b} - E:\Setup.exe
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1003\...\MountPoints2: {750bb97a-6f0e-11e8-844b-1c1b0dce044b} - D:\AltiumDesigner17Setup.exe
    HKU\S-1-5-21-3637263488-4215493890-3615123395-1003\...\MountPoints2: {750bb97e-6f0e-11e8-844b-1c1b0dce044b} - E:\Setup.exe
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    C:\Users\Andrey\AppData\Local\Vivaldi\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
    U3 aswbdisk; отсутствует ImagePath
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    Toolbar: HKU\S-1-5-21-3637263488-4215493890-3615123395-1000 -> Нет имени - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Нет файла
    Toolbar: HKU\S-1-5-21-3637263488-4215493890-3615123395-1003 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
    FirewallRules: [{146B8A39-BB7F-4D4C-9F64-98C72B278D38}] => (Allow) LPort=8502
    FirewallRules: [{92D735DE-1020-4EBC-B39A-2CA243BF3226}] => (Allow) LPort=8501
    FirewallRules: [{8163E242-5FBB-4C04-A3A5-8B02630D30BE}] => (Allow) LPort=8501
    FirewallRules: [{D79B4082-D64E-4FCD-9D5D-EF1904D43A85}] => (Allow) LPort=33202
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.20063 [+]
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Free v.20.0.14.1085 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
LibreOffice 7.0.6.2 v.7.0.6.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Foxit Reader v.9.2.0.9297 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.7.5.9 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 4.0.0 (64-разрядная) v.4.0.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Paint.NET v3.5.8 v.3.58.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2224, 22.07.2020 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 10 ActiveX v.10.3.181.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 10 Plugin v.10.3.181.22 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
 

 

Хотфиксы постарайтесь все установить. Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kdademon
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • Беляш
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
    • Hikobana
      Автор Hikobana
      Началось все с того, что 17.03 я обнаружила, что средства с Steam были потрачены путем покупки через торговую площадку. Доступа к аккаунту нет ни у кого, защита не подала никаких видов. Я поменяла пароль. В то же время, я заподозрила неладное с несколькими почтами от mail. Так же нигде не сработал аунтификатор. Везде поменяла пароли. На следующий день все повторилось и так продолжалось 3 дня. Итогом стало, что я поставила новую винду с 0. Все хорошо,  вроде прекратилось, случилось то, что взломали аккаунт Телеграмм. Вчера от меня началась рассылка в Дискорде, при том, что я сама находилась в нем. Никакая защита совершенно не сработала. После дискорда, пришло уведомление на WatsApp о попытки зайти на аккаунт. 
      CollectionLog-2025.05.02-06.01.zip
    • Fantamax
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • ratava
      Автор ratava
      Поймал шифровальщика, судя по подобным темам файлы расшифровать не получится, хотелось бы удалить его из системы и обойтись без переустановки, если такое возможно
      FRST.txt Addition.txt Shortcut.txt Desktop.zip
×
×
  • Создать...