• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто помогите с шифровальщиком hopeandhonest@smime.ninja

Статус
В этой теме нельзя размещать новые ответы.

ANS

Новый пользователь
Сообщения
11
Реакции
0
Здравствуйте посоветовали создать тему в разделе.
нуждаюсь в помощи, решении проблемы
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,244
Реакции
2,660
Хм, еще и майнера, похоже, подцепили.

Пробуйте собрать эти логи в безопасном режиме.
 

ANS

Новый пользователь
Сообщения
11
Реакции
0
файлы не могу архивировать которые поражены )))

как быть?
 

Вложения

  • Addition.rar
    13.5 KB · Просмотры: 0

ANS

Новый пользователь
Сообщения
11
Реакции
0
по отдельности, получилось
 

Вложения

  • INVOICE EC00020454 9 DAMIR GUIA 7715 (1).xls.[20745cefb8].[hopeandhonest@smime.ninja].rar
    32.8 KB · Просмотры: 1
  • INVOICE EC00020624 9 DAMIR GUIA 8170.xls.[20745cefb8].[hopeandhonest@smime.ninja].rar
    35.5 KB · Просмотры: 1

ANS

Новый пользователь
Сообщения
11
Реакции
0
в общем история такая

истекла лицензия на оффис, по работе очень нужна экселька
начал искать ключи к активации и видимо подцепил шифровщика, когда скачал программу для активации и запустил его
проблему так и не решил, а вирус подцепил

Файл очень большой, не могу прикрепить
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,244
Реакции
2,660
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код:
Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [45060112 2022-07-30] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ

HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-1195915177-395039801-1493405004-1000\...\MountPoints2: {1deff8be-76b3-11e9-b847-e0d55e4fd61a} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1195915177-395039801-1493405004-1002\...\Run: [MSFEEditor] => "C:\Users\John.WIN-R7824IG7Q48\Music\Admin\sng\.cr_osn_.exe" e (Нет файла)
HKU\S-1-5-21-1195915177-395039801-1493405004-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\John.WIN-R7824IG7Q48\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1195915177-395039801-1493405004-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\John.WIN-R7824IG7Q48\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
Task: {5BC58EA2-68CC-4BBD-9431-0252072C261C} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\RealtekHD\taskhostw.exe [45060112 2022-07-30] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {62580CE1-F4C1-4080-99C1-9D1716B879C3} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\RealtekHD\taskhostw.exe [45060112 2022-07-30] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {643C1A18-0CA5-4796-99B7-049B9F623ED8} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\RealtekHD\taskhost.exe [38174736 2022-07-30] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {74670726-C9E3-4A01-AC88-C563BC75E362} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] <==== ВНИМАНИЕ
Task: {A02D57E7-768B-43EB-8394-ED7D448803B4} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\RealtekHD\taskhost.exe [38174736 2022-07-30] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {AD145750-A81E-4C3C-968E-1195566B9C60} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe (Нет файла) <==== ВНИМАНИЕ
Task: {AE26DA43-50D2-4657-BC4F-CFDF59B1E44C} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] <==== ВНИМАНИЕ
Task: {B23E7B8F-7F60-4B35-8B80-1E306C5A2BEC} - System32\Tasks\Adblock Fast => C:\Users\user\Programs\Adblock\Adblock.exe [5698400 2022-08-08] (Rocketship Apps, LLC -> Rocketship Apps, LLC) <==== ВНИМАНИЕ
Task: {E219528C-BCFA-4A85-97FC-6DE14CEF2273} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe [45060112 2022-07-30] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adblock Fast.lnk [2022-08-17]
ShortcutTarget: Adblock Fast.lnk -> C:\Windows\System32\schtasks.exe (Microsoft Windows -> Microsoft Corporation)
2022-08-17 18:25 - 2022-08-27 12:39 - 000000000 __SHD C:\ProgramData\WindowsTask
2022-08-17 18:25 - 2022-08-25 19:16 - 000000000 __SHD C:\ProgramData\Setup
2022-08-17 18:25 - 2022-08-25 19:16 - 000000000 __SHD C:\ProgramData\RunDLL
2022-08-17 18:25 - 2022-08-25 19:16 - 000000000 __SHD C:\ProgramData\RealtekHD
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Тех, что прикрепили достаточно. Судя по всему у вас версия шифровальщика которая не поддается расшифровке.
 

ANS

Новый пользователь
Сообщения
11
Реакции
0
скопировал код в блокнот, перезагрузил в безопасный режим, включил прогу. скопировал с блокнота код и нажал кнопку исправить

файл прикрепил
 

Вложения

  • Fixlog.rar
    2.5 KB · Просмотры: 0

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,244
Реакции
2,660
Теперь удалите старые файлы FRST.txt и Addition.txt, загрузитесь в нормальном режиме, соберите еще раз логи Farbar и прикрепите оба файла к сообщению.

Хотя может все действия вообще зря, потому как
у вас версия шифровальщика которая не поддается расшифровке
 

ANS

Новый пользователь
Сообщения
11
Реакции
0
Теперь удалите старые файлы FRST.txt и Addition.txt, загрузитесь в нормальном режиме, соберите еще раз логи Farbar и прикрепите оба файла к сообщению.

Хотя может все действия вообще зря, потому как
Даже если не получится, файлы не как не восстановить?
просто при этом всем, у меня 1C предприятие не заходит.
хотя файл на месте, но он поражён
 

Вложения

  • Новый точечный рисунок.rar
    29.7 KB · Просмотры: 0
  • FRST.rar
    18.7 KB · Просмотры: 0
  • Addition.rar
    13.4 KB · Просмотры: 0

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,244
Реакции
2,660
Расшифровать точно не получится.

Дальше чисткой занимаемся или система пойдет под переустановку?
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,244
Реакции
2,660
Из всех существующих разновидностей шифровальщиков хорошо если 1% поддается расшифровке. Увы, заботиться об информационной безопасности нужно заранее.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,831
Реакции
14,272
Насколько я помню s.lab удавалось восстановить БД 1с после этого шифровальщика.
 

ANS

Новый пользователь
Сообщения
11
Реакции
0
Из всех существующих разновидностей шифровальщиков хорошо если 1% поддается расшифровке. Увы, заботиться об информационной безопасности нужно заранее.
Спасибо ребята, что не оставили без внимания, Вы крутые!
Насколько я помню s.lsab удавалось восстановить БД 1с после этого шифровальщика.
подскажите куда обратиться
s.lsab кто это или что это? : ))))
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,244
Реакции
2,660
Тогда стоит зачистить до конца и майнер.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После этого удалите старые файлы FRST.txt и Addition.txt, загрузитесь в нормальном режиме, соберите еще раз логи Farbar и прикрепите оба файла к сообщению.

подскажите куда обратиться
s.lsab кто это или что это?
 

ANS

Новый пользователь
Сообщения
11
Реакции
0
Тогда стоит зачистить до конца и майнер.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После этого удалите старые файлы FRST.txt и Addition.txt, загрузитесь в нормальном режиме, соберите еще раз логи Farbar и прикрепите оба файла к сообщению.


 

Вложения

  • Addition.rar
    13.1 KB · Просмотры: 1
  • Desktop.rar
    100.3 KB · Просмотры: 1
  • AV_block_remove_2022.08.29-10.00.rar
    1.9 KB · Просмотры: 1
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу