Решена без расшифровки Помогите пожалуйста расшифровать файлы. Поймали вирус [helprequest@techmail.info].Elbie

[Arsey]

Помогите пожалуйста расшифровать файлы. Поймали вирус [helprequest@techmail.info].Elbie

 

[Sandor]

Здравствуйте!

Это Phobos, к сожалению, расшифровки нет.
Если нужна наша помощь в очистке системы от его следов, нужно переделать логи, запустив программу от имени администратора.

Запущено с помощью диетсестра3 (ВНИМАНИЕ: Пользователь не является Администратором)

 

[Arsey]

Здравствуйте!

Это Phobos, к сожалению, расшифровки нет.
Если нужна наша помощь в очистке системы от его следов, нужно переделать логи, запустив программу от имени администратора.

Есть какая-то надежда что файлы можно будет расшифровать? На сервере база 1С в том числе и бэкапы базы ((
Восстановил учетную запись администратора, переделал логи, прикреплены

 

[Sandor]

Удалите нежелательное ПО:

WindowsRar 1.0.0.47
WinZip

Архиватор WinRAR обновите до актуальной версии.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  HKU\S-1-5-21-1997792847-69828094-2856502211-1009\...\Run: [.cr_osn_f] => C:\Users\Нина\AppData\Local\.cr_osn_f.exe (Нет файла)
  HKU\S-1-5-21-1997792847-69828094-2856502211-1010\...\MountPoints2: {e880efcd-1f8c-11ed-9fc5-806e6f6e6963} - F:\setup.exe
  HKU\S-1-5-21-1997792847-69828094-2856502211-1033\...\Run: [.cr_osn_f] => C:\Users\диетсестра3\AppData\Local\.cr_osn_f.exe (Нет файла)
  HKU\S-1-5-21-1997792847-69828094-2856502211-500\...\Run: [DAEMON Tools Lite Automount] => "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun (Нет файла)
  HKU\S-1-5-21-1997792847-69828094-2856502211-500\...\Run: [.cr_osn_f] => C:\Users\Администратор\AppData\Local\.cr_osn_f.exe (Нет файла)
  HKU\S-1-5-21-1997792847-69828094-2856502211-500\...\MountPoints2: {e880efcd-1f8c-11ed-9fc5-806e6f6e6963} - F:\autorun.exe
  2022-10-14 16:12 - 2022-10-14 16:12 - 000005463 _____ C:\Users\диетсестра3\Desktop\info.hta
  2022-10-14 16:12 - 2022-10-14 16:12 - 000000188 _____ C:\Users\диетсестра3\Desktop\info.txt
  2022-10-14 12:07 - 2022-10-14 12:07 - 000005463 _____ C:\Users\Нина\Desktop\info.hta
  2022-10-14 12:07 - 2022-10-14 12:07 - 000000188 _____ C:\Users\Нина\Desktop\info.txt
  2022-10-12 02:35 - 2022-10-12 02:35 - 000005463 _____ C:\Users\Администратор\Desktop\info.hta
  2022-10-12 02:35 - 2022-10-12 02:35 - 000005463 _____ C:\Users\Public\Desktop\info.hta
  2022-10-12 02:35 - 2022-10-12 02:35 - 000005463 _____ C:\info.hta
  2022-10-12 02:35 - 2022-10-12 02:35 - 000000188 _____ C:\Users\Администратор\Desktop\info.txt
  2022-10-12 02:35 - 2022-10-12 02:35 - 000000188 _____ C:\Users\Public\Desktop\info.txt
  2022-10-12 02:35 - 2022-10-12 02:35 - 000000188 _____ C:\info.txt
  FirewallRules: [{412F5A0C-3A5D-4A1B-8621-73731B237660}] => (Allow) LPort=3389
  FirewallRules: [{263344B8-0474-49D8-8D06-0D0D4DC6B2D1}] => (Allow) LPort=9422
  FirewallRules: [{5E5BA200-6787-44F2-9C4D-2DEECF8F3B63}] => (Allow) LPort=9245
  FirewallRules: [{B6568A92-BDFC-4AAA-9D92-C1AA14367112}] => (Allow) LPort=9246
  FirewallRules: [{F163B3C0-6BDD-4006-91EC-BF5BB93FDA1D}] => (Allow) LPort=9247
  FirewallRules: [{DC8F585C-78A0-4E68-81DB-0F269275B4C8}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{06454C4B-018C-4A9B-94C4-F0A0DED648C4}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{DD15868E-C71F-4340-BFBA-92439999C9BC}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{6E0FC22B-0F4B-445B-9473-584687C819CB}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{DF3B0139-7C2F-4DBA-A98E-01C475936B50}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => Нет файла
  FirewallRules: [{2F8348C4-359F-4740-8E9E-75B39AE462E4}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe => Нет файла
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

На сервере база 1С

Обратитесь к S.lab, не исключено, что помогут.
А появление дешифратора крайне мало вероятно.

 

[Arsey]

Сделал

 

[Sandor]

Проверьте уязвимые места системы:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('https://www.df.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.