• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Шифровальщик .pHv1 [phfmzpqbn@petml.com]

Статус
В этой теме нельзя размещать новые ответы.
1639989989942.webp
 
Здравствуйте!

К сожалению, для этой версии нет расшифровки и пара файлов не поможет.
Если нужна помощь в очистке системы от возможных следов вымогателя, выполните правила. Логи прикрепляйте к сообщению.
 
Логи в прицепе
файл шифровальщик не нашел
 

Вложения

файл с шифровальщиком скорее всего
 

Вложения

Логи собраны в безопасном режиме. Почему? В обычном не грузится?

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    2021-12-20 11:44 - 2021-12-20 13:45 - 000005461 _____ C:\Users\Public\Desktop\info.hta
    2021-12-20 11:44 - 2021-12-20 13:45 - 000005461 _____ C:\Users\admin\Desktop\info.hta
    2021-12-20 11:44 - 2021-12-20 13:45 - 000005461 _____ C:\info.hta
    2021-12-20 11:44 - 2021-12-20 13:45 - 000000186 _____ C:\Users\Public\Desktop\info.txt
    2021-12-20 11:44 - 2021-12-20 13:45 - 000000186 _____ C:\Users\admin\Desktop\info.txt
    2021-12-20 11:44 - 2021-12-20 13:45 - 000000186 _____ C:\info.txt
    zip: C:\Windows\svchost.com
    2021-12-20 08:09 - 2021-12-20 08:09 - 000041472 _____ C:\Windows\svchost.com
    HKLM\...\exefile\shell\open\command: C:\Users\admin\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
    FirewallRules: [{8526514C-A095-425E-A407-B61BDF41E844}] => (Allow) LPort=475
    FirewallRules: [{70521B67-4C53-4130-A5C7-67465D4A4DA2}] => (Allow) LPort=475
    FirewallRules: [{635915FF-1672-40C8-8C66-B7C7B4FB3F02}] => (Allow) LPort=475
    FirewallRules: [{47660C5D-87BD-431A-958E-4DD9A10E501B}] => (Allow) LPort=475
    FirewallRules: [{BD501402-4D40-4FD5-AF1B-9E61424AA7F8}] => (Allow) LPort=475
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

файл с шифровальщиком скорее всего
Нет, это записка с требованием выкупа. Сам вымогатель скорее всего был уничтожен. Но при этом заражении он и не требуется.
 
лог и архив в приложении, на почту отправить не смог -Яндекс пишет о вирусе
 

Вложения

KRD нет возможности использовать, физически доступа к машине нет.
пролечил CureIT ом
лог оттуда в прицепе
 

Вложения

Увы, от файлового вируса избавиться можно только используя LiveCD (или USB).
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу