• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Зашифрована БД и сетевые ресурсы. /[noname@mailc.net].Non

Статус
В этой теме нельзя размещать новые ответы.
Здравствуйте!

Не хватает отчётов и образцов зашифрованных файлов по правилам раздела.
 
Тела вируса не имеем. Есть только образец зашифрованных файлов
 

Вложения

  • 04-07-2022_07-53-16.zip
    12.2 KB · Просмотры: 1
К сожалению, тип вымогателя - Phobos, расшифровки нет.
Если нужна помощь в очистке системы от его следов, переделайте логи, запустив Farbar Recovery Scan Tool правой кнопкой мыши от имени администратора.
Запущено с помощью ramil (ВНИМАНИЕ: Пользователь не является Администратором)
И не забудьте прикрепить файл Addition.txt

Почитайте также эту тему.
 
Я его посмотрел и увидел, что:
1. Программа была запущена не от имени администратора
2. Не хватает второго отчёта с именем Addition.txt

Подробная инструкция.
 
Прилагаю
 

Вложения

  • Addition.txt
    42.6 KB · Просмотры: 1
Последнее редактирование:
Вы прикрепили второй отчёт, спасибо. Но всё же нужно оба лога переделать.
Программу следует запустить, щёлкнув на ней правой кнопкой мыши и выбрать "Запуск от имени администратора".

Удалите старые FRST.txt и Addition.txt, соберите и прикрепите новые.
 
Вы почему-то отвечаете выборочно, а нужно выполнять полностью :)
Перечитайте, пожалуйста, ещё раз моё предыдущее сообщение.
 
Запустили программу на зараженном ПК, уже другом.
 

Вложения

  • Addition.txt
    60.3 KB · Просмотры: 1
  • FRST.txt
    23.4 KB · Просмотры: 1
По типу заражения я уже вам сообщил. Расшифровки, к сожалению, нет.

Что касается конкретно этого компьютера, поможем очистить и дать рекомендации по предотвращению повторного заражения.
Общие рекомендации - сменить пароли администратора и RDP, т.к. скорее всего они уже скомпрометированы.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    Comment: Скрипт написан только для пользователя @Железнов Олег, и для компьютера ZAV-ENDO
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\da\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\KazancevaEE\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\PashkevichAV\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    FirewallRules: [{CA2E074F-064A-4121-B142-29C4315BE52B}] => (Allow) LPort=139
    FirewallRules: [{3435A594-BF56-4564-8780-F658E47DAD1F}] => (Allow) LPort=445
    FirewallRules: [{09011FC5-DC3D-4AED-BB59-C1B17E9E833A}] => (Allow) LPort=137
    FirewallRules: [{718DCE5E-343B-4F1E-BC5D-1CBB63A70A77}] => (Allow) LPort=138
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Деинсталлируйте устаревшие со множеством уязвимостей и техподдержка которых прекращена:
Adobe Flash Player 32 ActiveX
Adobe Flash Player 32 NPAPI
Adobe Flash Player 32 PPAPI
 
+
Видны несколько Контрольных точек. Попробуйте восстановить из теневых копий.
 
@Железнов Олег, сообщите, пожалуйста, есть ли ещё вопросы.
Если нет, закрою тему.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу