Решена без расшифровки Зашифрована БД и сетевые ресурсы. /[noname@mailc.net].Non

[Железнов Олег]

Зашифрована БД и сетевые ресурсы. /[noname@mailc.net].Non

 

[Sandor]

Здравствуйте!

Не хватает отчётов и образцов зашифрованных файлов по правилам раздела.

 

[Железнов Олег]

Тела вируса не имеем. Есть только образец зашифрованных файлов

 

[Sandor]

К сожалению, тип вымогателя - Phobos, расшифровки нет.
Если нужна помощь в очистке системы от его следов, переделайте логи, запустив Farbar Recovery Scan Tool правой кнопкой мыши от имени администратора.

Запущено с помощью ramil (ВНИМАНИЕ: Пользователь не является Администратором)

И не забудьте прикрепить файл Addition.txt

Почитайте также эту тему.

 

[Железнов Олег]

Здравствуйте!

Не хватает отчётов и образцов зашифрованных файлов по правилам раздела.

Файл приложен. Посмотреть можете?

 

[Sandor]

Я его посмотрел и увидел, что:
1. Программа была запущена не от имени администратора
2. Не хватает второго отчёта с именем Addition.txt

Подробная инструкция.

 

[Железнов Олег]

Прилагаю

 

[Sandor]

Вы прикрепили второй отчёт, спасибо. Но всё же нужно оба лога переделать.
Программу следует запустить, щёлкнув на ней правой кнопкой мыши и выбрать "Запуск от имени администратора".

Удалите старые FRST.txt и Addition.txt, соберите и прикрепите новые.

 

[Железнов Олег]

Я его посмотрел и увидел, что:
1. Программа была запущена не от имени администратора
2. Не хватает второго отчёта с именем Addition.txt

Подробная инструкция.

Файл отправлен

 

[Sandor]

Вы почему-то отвечаете выборочно, а нужно выполнять полностью
Перечитайте, пожалуйста, ещё раз моё предыдущее сообщение.

 

[Железнов Олег]

Запустили программу на зараженном ПК, уже другом.

 

[Sandor]

По типу заражения я уже вам сообщил. Расшифровки, к сожалению, нет.

Что касается конкретно этого компьютера, поможем очистить и дать рекомендации по предотвращению повторного заражения.
Общие рекомендации - сменить пароли администратора и RDP, т.к. скорее всего они уже скомпрометированы.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  Comment: Скрипт написан только для пользователя @Железнов Олег, и для компьютера ZAV-ENDO
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\da\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\KazancevaEE\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\PashkevichAV\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [{CA2E074F-064A-4121-B142-29C4315BE52B}] => (Allow) LPort=139
  FirewallRules: [{3435A594-BF56-4564-8780-F658E47DAD1F}] => (Allow) LPort=445
  FirewallRules: [{09011FC5-DC3D-4AED-BB59-C1B17E9E833A}] => (Allow) LPort=137
  FirewallRules: [{718DCE5E-343B-4F1E-BC5D-1CBB63A70A77}] => (Allow) LPort=138
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Деинсталлируйте устаревшие со множеством уязвимостей и техподдержка которых прекращена:

Adobe Flash Player 32 ActiveX
Adobe Flash Player 32 NPAPI
Adobe Flash Player 32 PPAPI

 

[Sandor]

+
Видны несколько Контрольных точек. Попробуйте восстановить из теневых копий.

 

[Sandor]

@Железнов Олег, сообщите, пожалуйста, есть ли ещё вопросы.
Если нет, закрою тему.