Перейти к содержанию
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Поймал шифровальщика

Евгений111
 Share Подписчики 1

Рекомендуемые сообщения

mike 1

mike 1 1 032

Опубликовано
Опубликовано

Здравствуйте. 

 

Kaspersky Security for Windows Server находился под политикой? Защита от шифрования в политике была включена?

 

Цитата

an (S-1-5-21-2306321666-1036899356-2853081768-1006 - Administrator - Enabled) => C:\Users\an
DefaultAccount (S-1-5-21-2306321666-1036899356-2853081768-503 - Limited - Disabled)
Igor (S-1-5-21-2306321666-1036899356-2853081768-1005 - Administrator - Enabled) => C:\Users\Igor
Ivan (S-1-5-21-2306321666-1036899356-2853081768-1002 - Administrator - Enabled) => C:\Users\Ivan
WDAGUtilityAccount (S-1-5-21-2306321666-1036899356-2853081768-504 - Limited - Disabled)
Администратор (S-1-5-21-2306321666-1036899356-2853081768-500 - Administrator - Enabled) => C:\Users\Администратор
Александр Попов (S-1-5-21-2306321666-1036899356-2853081768-1001 - Administrator - Enabled) => C:\Users\Александр Попов
Гость (S-1-5-21-2306321666-1036899356-2853081768-501 - Limited - Disabled)

Незнакомые УЗ отключайте и удаляйте. У УЗ с правами администратора смените пароли. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2306321666-1036899356-2853081768-1006\...\Run: [75482EA4-546AC3EB] => "C:\Users\an\appdata\local\temp\svcymh.exe" -id "75482EA4-546AC3EB" -wid "vis" (Нет файла) <==== ВНИМАНИЕ
C:\Users\an\appdata\local\temp\svcymh.exe
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Сделайте новые логи.

Ссылка на сообщение
Поделиться на другие сайты
Евгений111

Евгений111 0

Опубликовано
  • Автор
Опубликовано

Касперский был почему-то полностью отключен, когда всё произошло.

Файл во вложении

Fixlog.txt

А дешифровать зашифрованные файлы получится?
Бэкапов нет, сервер недавно переустановил...

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано
15 часов назад, Евгений111 сказал:

А дешифровать зашифрованные файлы получится?

В техподдержке спросите. 

 

15 часов назад, Евгений111 сказал:

Касперский был почему-то полностью отключен, когда всё произошло.

Собственно вероятно по этой причине:

 

Цитата

Средства администрирования Kaspersky Security 11.0.1 для Windows Server (HKLM\...\{5417F82C-00AF-40BF-B560-A2AD280E05D8}) (Version: 11.0.1.897 - АО "Лаборатория Касперского")

 

У Вас KSC развернут в организации? 

15 часов назад, Евгений111 сказал:

Бэкапов нет, сервер недавно переустановил...

Что-то еще будете делать? Расследование инцидента ИБ проводить будете или пускай через месяц снова ломанут? 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Akmv
      Не удаляется NET:MALWARE.URL
      От Akmv
      Добрый вечер. Прошу помощи!

      Изучил "другие темы", та же проблема - не удаляется NET:MALWARE.URL - https://imgur.com/a/aDrVvgh
      Виндос переустановлен сегодня утром (24 июля в 12-00 мск~), но уже откуда-то майнер и эта дрянь...

      Коннектер лог прикрепил.

      По рекомендациям хелперов скачал Farbar Recovery Scan Tool, поставил галочки и на 90 дней сделались два файла, прикрепляю их в архиве.
       
      Что делать дальше -- не понимаю, прошу помощи. Хочется, чтобы компик жил.
      FRST.zip
      CollectionLog-2024.07.24-23.05.zip
    • clenup
      Проверка на вирусы
      От clenup
      Добрый вечер. Хочу проверить Комп на вирусы.
      Kaspersky Virus Removal Tool; Dr.Web CureIt! не чего не нашли.
      CollectionLog-2024.07.17-17.38.zip
    • Averfak
      Помогите пожалуйста!
      От Averfak
      подхватил расширения называются mvpn и adblocker при удалении и перезагрузке они восстанавливаются, помогите а то в этом плане вообще ничего не знаю!😢
    • Skittle
      Вирус грузит ЦП, блочит пуск и поиск
      От Skittle
      Добрый день, помогите пожалуйста с проблемой.
        Новое железо + свежая винда, но был перенесен один из старых SSD с рабочими файлами, форматировать под чистую никак :( И вместе видимо какая-то зараза перенеслась
      При открытом диспетчере все отлично, если закрыть диспетчер и через какое-то время открыть снова то видно как нагрузка ЦП падает с ~50 до 2%. Так же раз через раз после перезагрузки в винде блочится пуск. На другом компе куда старые диски и файлы не переносились та же самая винда чувствует себя прекрасно
        
      CollectionLog-2024.07.16-17.42.zip
    • BSss
      Проблема (?) вирус
      От BSss
      В простое видеокарта загружается до 100, включаются вентиляторы, запускаешь диспетчер задач  - успокаивается.. как бы от этого избавиться? 
×
×
  • Создать...