Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.
Никто не даст гарантий.есть ли смысл платить злоумышленникам? или никто не даст гарантии, что получив деньги они расшифруют?
Нужно собрать логи через консоль или TeamViewer. AVZ не совсем корректно работает через терминальную сессию.AVZ запущен из терминальной сессии (RDP-Tcp#0)
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\install\cheat.exe', '');
QuarantineFile('C:\ProgramData\install\sys.exe', '');
QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
QuarantineFile('c:\programdata\rundll\system.exe', '');
QuarantineFile('c:\programdata\windows\rfusclient.exe', '');
QuarantineFile('c:\programdata\windows\rutserv.exe', '');
QuarantineFile('c:\programdata\windowstask\audiodg.exe', '');
QuarantineFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '');
QuarantineFile('C:\ProgramData\windowstask\winlogon.exe', '');
QuarantineFile('C:\Windows\java.exe', '');
QuarantineFile('C:\Windows\svchost.exe', '');
QuarantineFile('f:\av_block_remover\taskhostw.exe', '');
QuarantineFileF('C:\ProgramData\install\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('C:\ProgramData\rundll', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('C:\ProgramData\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\ProgramData\install\cheat.exe', '32');
DeleteFile('C:\ProgramData\install\sys.exe', '32');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '32');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
DeleteFile('c:\programdata\rundll\system.exe', '32');
DeleteFile('c:\programdata\rundll\system.exe', '64');
DeleteFile('c:\programdata\windows\rfusclient.exe', '32');
DeleteFile('c:\programdata\windows\rutserv.exe', '32');
DeleteFile('c:\programdata\windows\rutserv.exe', '64');
DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
DeleteFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '64');
DeleteFile('C:\ProgramData\windowstask\winlogon.exe', '32');
DeleteFile('C:\Windows\java.exe', '32');
DeleteFile('C:\Windows\svchost.exe', '32');
DeleteFileMask('C:\ProgramData\install\', '*.*', true);
DeleteFileMask('C:\ProgramData\rundll', '*.*', true);
DeleteFileMask('c:\programdata\windows', '*.*', true);
DeleteFileMask('C:\ProgramData\windowstask', '*.*', true);
DeleteDirectory('C:\ProgramData\install\');
DeleteDirectory('C:\ProgramData\rundll');
DeleteDirectory('c:\programdata\windows');
DeleteDirectory('C:\ProgramData\windowstask');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
O1 - Hosts: Reset contents to default
O21 - HKLM\..\ShellIconOverlayIdentifiers\GDriveSharedOverlay: (no name) - {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} - (no file)
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
2021-08-15 19:30 - 2021-08-15 20:10 - 000000000 ____D C:\ProgramData\RealtekHD
2021-08-15 11:19 - 2021-08-15 11:19 - 000006035 _____ C:\how_to_decrypt.hta
2021-08-15 11:12 - 2021-08-15 11:12 - 000006035 _____ C:\Users\Public\how_to_decrypt.hta
2021-08-15 11:12 - 2021-08-15 11:12 - 000006035 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 ___SH C:\Users\john\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\Downloads\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\Documents\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\Desktop\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\Roaming\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\LocalLow\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\Local\how_to_decrypt.hta
2021-08-15 11:11 - 2021-08-15 11:11 - 000006035 _____ C:\Users\john\AppData\how_to_decrypt.hta
2021-08-15 11:07 - 2021-08-15 11:07 - 000006035 _____ C:\Users\admin\how_to_decrypt.hta
2021-08-15 11:07 - 2021-08-15 11:07 - 000006035 _____ C:\Users\admin\Downloads\how_to_decrypt.hta
2021-08-15 11:07 - 2021-08-15 11:07 - 000006035 _____ C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-08-15 11:06 - 2021-08-15 11:06 - 000006035 _____ C:\Users\admin\Documents\how_to_decrypt.hta
2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ C:\Users\admin\AppData\LocalLow\how_to_decrypt.hta
2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ C:\Users\admin\AppData\how_to_decrypt.hta
2021-08-15 11:03 - 2021-08-15 11:03 - 000006035 _____ C:\Users\admin\AppData\Local\how_to_decrypt.hta
2021-08-15 11:00 - 2021-08-15 11:00 - 000006035 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2021-08-15 11:00 - 2021-08-15 11:00 - 000006035 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2021-08-15 10:56 - 2021-08-15 10:56 - 000006035 _____ C:\Users\how_to_decrypt.hta
2021-08-11 00:36 - 2021-08-11 00:36 - 000000000 ___SH () C:\ProgramData\kz.exe
2021-08-11 00:36 - 2021-08-11 00:36 - 000000000 ___SH () C:\ProgramData\lsass.exe
2021-08-11 00:36 - 2021-08-11 00:36 - 000000000 ___SH () C:\ProgramData\lsass2.exe
2021-08-15 19:30 - 2021-08-15 19:30 - 000000000 ___SH () C:\ProgramData\olly.exe
2021-08-11 00:36 - 2021-08-11 00:36 - 000000000 ___SH () C:\ProgramData\script.exe
2015-05-23 22:01 - 2015-10-11 21:27 - 000000119 _____ () C:\ProgramData\sp_OAMethod.dll
2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ () C:\Users\admin\AppData\Roaming\how_to_decrypt.hta
2021-08-15 11:05 - 2021-08-15 11:05 - 000006035 _____ () C:\Users\admin\AppData\Roaming\Microsoft\how_to_decrypt.hta
2021-08-15 11:03 - 2021-08-15 11:03 - 000006035 _____ () C:\Users\admin\AppData\Local\how_to_decrypt.hta
FCheck: C:\Windows\boy.exe [2021-08-11] <==== ВНИМАНИЕ (Доступ не разрешён)
FirewallRules: [{D3FDDF8E-9F5E-4D27-BE90-C2341E76D225}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{E6268F49-D3D1-40A5-913E-C85094431280}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{CE1C0CD3-5D2F-4F78-BCDB-257419C23FF0}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{0F733A5B-46CD-48F4-A648-16D0E2843B4D}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{9102D862-7E4F-40F4-B579-10B15CADF59A}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{CEA807B6-D508-4C6A-830D-9E3874F4A979}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
FirewallRules: [{D9C0C8B3-6513-4413-969A-4555FFA63BF8}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
FirewallRules: [{CCF9B572-F2D9-42A1-AF00-5B224B617AA4}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
FirewallRules: [{B4819D25-AFFA-409F-9489-018B4C06C9C0}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
FirewallRules: [{5A9656A1-D1F3-4EAE-948C-F4DC99ED83F9}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
FirewallRules: [{8DD0B6C8-E20E-498E-B3F2-CC4788405604}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{98DF02E8-795A-4451-A4EB-AA6E59E6FE3B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{3F6EC1F1-B18D-4A4A-9200-9447469275FC}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{78EB6E3A-0D2B-4665-BC2A-D2E9064F0BC6}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{1C036739-7E44-4B8E-86F4-E664E29E6FE2}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
FirewallRules: [{A2F06A5F-3ED8-4307-9DCA-6001997F1D55}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{EFCE8758-A910-421E-917D-B7E4AD704BB7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{4CCB2E30-6C1C-469D-B062-D4B8989F422F}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => Нет файла
FirewallRules: [{84F00FDA-A79A-4AA4-925A-682D83FF0E26}] => (Allow) C:\ProgramData\rundll\system.exe => Нет файла
FirewallRules: [{A1EC861C-EFE1-4B4F-A002-C814536FD000}] => (Allow) C:\ProgramData\rundll\rundll.exe => Нет файла
FirewallRules: [{81C4A888-961C-487D-A9E8-9828ADBC011F}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => Нет файла
FirewallRules: [{D1851B38-3F30-4B29-824F-58BDBE696939}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => Нет файла
2021-08-11 00:36 C:\Program Files (x86)\Zaxar
2021-08-11 00:36 C:\Windows\boy.exe
EmptyTemp:
End::
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?