Активность

По данному типу шифровальщика ничего неизвестно про расшифровку файлов, скорее всего нет. По классификации ESET это был Filecoder. BM Другие известные варианты по этому типу: just, gre, green, neitrino.

Помогите пожалуйста рашифровать фотографии зашифрованные в 2014 году. https://disk.yandex.ru/d/E1QYpOdv8WpsXw Не могу загрузить документы

SecurityCheck.txt

Поздравляю!

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Cureit ничего не нашёл, видимо всё получилось СПАСИБО!

Для верности сделайте проверку с помощью KVRT.

Как себя ведёт система сейчас? Сделайте ещё раз полную проверку Cureit и сообщите результат.

это удалил, повторно прогнал - все чисто. что-то еще нужно запустить протестить?

Fixlog.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {59136BB8-2449-4F94-8D24-10F93EF17E73} - System32\Tasks\BLACK FRIDAY Task (One-Time) => "C:\Program Files (x86)\IObit\Driver Booster\Pub\bf.exe" -> C:\Program Files (x86)\IObit\Driver Booster\Pub\\/bf Task: {A34F1713-6A9E-4D75-BDC1-9606A307DADE} - System32\Tasks\XyZhf1 => C:\Program Files\Google\Chrome\Application\chrome.exe [3308696 2025-11-20] (Google LLC -> Google LLC) C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ddppjphjahihociddnfpkoeofkmlphkj C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dodnpoijjkmcmlhlelmggejhfocfjgfc C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ichhfdldoddmimpajkijflgkifkgeffg C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ndcileolkflehcjpmjnfbnaibdcgglog C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" C:\Users\давид\AppData\Local\Google\Chrome\User Data\Default\Extensions\dagaahffgcggpgdhcigmnnlobdlokibg C:\Users\давид\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe C:\Users\давид\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\binaddejmpiokigdfgebopppjakkkifo AlternateDataStreams: C:\Windows\Temp:A96ECA9E [48] AlternateDataStreams: C:\Windows\Temp:DeviceUUID [64] AlternateDataStreams: C:\Windows\tracing:? [16] AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442] AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442] AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442] AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TM.blf:D07D688A82 [3442] AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TMContainer00000000000000000001.regtrans-ms:7A67C6BB37 [3442] AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TMContainer00000000000000000002.regtrans-ms:C50AC74EF3 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wallpaper Engine 2.2.6.lnk:EB3F48D154 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZeroTier.lnk:5D5C9F9C68 [3442] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3256] AlternateDataStreams: C:\Users\давид\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\давид\Application Data:d0353b486a0f166ba47ab293d0b1004e [394] AlternateDataStreams: C:\Users\давид\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\давид\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394] AlternateDataStreams: C:\Users\давид\AppData\Local\Microsoft:ISBD [128] FirewallRules: [{637DF2C5-A476-4719-90FF-A9578E834091}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯䡜千㌰攮數 => Нет файла FirewallRules: [{1D488524-EDB1-4669-8FB6-CCDF0BACDA61}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла FirewallRules: [{749348B2-3BD9-42FA-8887-583927632BAB}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{C8F9D30C-0575-407C-8C5B-E38CA2170B1F}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯㉜塚⸴硥e => Нет файла FirewallRules: [{B3410143-DD0D-404F-A758-4FE777112F97}] => (Allow) LPort=9993 FirewallRules: [{0BC09D43-FA7C-4D2C-A595-A50CB20A39AF}] => (Allow) LPort=9993 startbatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" endbatch: EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Addition.txtFRST.txt

Продолжаем. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

AV_block_remove_2025.12.13-13.46.logCollectionLog-2025.12.13-13.51.zip

Всё найденное в Malwarebytes можно удалить (поместить в карантин).

Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\google\chrome\updater.exe', ''); QuarantineFile('C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe', ''); DeleteSchedulerTask('C:\Windows\Task\acoKlyRfoKbEAnytz.job'); DeleteSchedulerTask('cdlOy1'); DeleteSchedulerTask('EdgeUpdate'); DeleteSchedulerTask('iTop BF Task (One-Time)'); DeleteFile('C:\Program Files\google\chrome\updater.exe', ''); DeleteFile('C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe', '32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(22); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O22 - Task (.job): (Not scheduled) acoKlyRfoKbEAnytz.job - C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe (file missing) O22 - Task (.job): (Not scheduled) fvrulaFMtJJcOZkjd.job - (file missing) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WProxy (empty) O27 - Account: (Hidden) User 'John' is invisible on logon screen Дополнительно: Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Нет, здесь пара чистый-зашифрованный не поможет для восстановления приватного ключа. Если бы это было возможно, не было бы проблем с шифрованием Proton.

удалось скачать для ХР этоhttps://archive.org/details/malwarebytes_for_win_xp вот отчет во вложении. найдено.txt host такой: сейчас скачаю - тоже прогоню.

Ясно. Пробуем KVRT 2015, по идее должна запуститься.

Здравствуйте, поймал такую вот штучку, знаю что удалить её самому это та ещё проблема, так что решил сразу написать сюда, прошу помочь. CollectionLog-2025.12.13-13.07.zip

Но тоже не запускается

ОШИБКА 403 Запрос не может быть выполнен. Дистрибутив Amazon CloudFront настроен на блокировку доступа из вашей страны. В данный момент мы не можем подключиться к серверу этого приложения или веб-сайта. Возможно, слишком большой трафик или ошибка конфигурации. Повторите попытку позже или свяжитесь с владельцем приложения или веб-сайта. Если вы предоставляете клиентам контент через CloudFront, вы можете найти инструкции по устранению неполадок и предотвращению этой ошибки в документации CloudFront. Сгенерировано CloudFront (CloudFront) Идентификатор запроса: Lx4lqwgltJdqWe-pVmWnC2J0y9l51wamFDT0C-HhhG2iM8Saz3IENA== эта работает

Здравствуйте, У меня есть файл зашифрованный файл который я отправлял хакерам для подтверждения их способности его расшифровать и этот же файл расшифрованый ими. Может ли это помочь в расшифровке? перенумерация документов в 1с.docx.[reopening2025@gmail.com] зашифрованый.rar test-EB133C533A3B1A21C6B59F6EBB230948.rar

Если не сможете загрузить по первой ссылке, вот вторая.

Да, Farbar больше не поддерживает Windows XP. Попробуем Malwarebytes эту версию.