Перейти к содержанию

[РЕШЕНО] globeimposter 2.0

satone667
 Поделиться

Рекомендуемые сообщения

satone667

satone667

Опубликовано
Опубликовано

Добрый день, поймали сегодня. Расширения файлов *.[dsupport@protonmail.com], сообщение "How to restore your files.hta". В аттаче файл шифрованный и нешифрованный. Есть и exe-ник вируса. Чистка и удаление, способ заражения не интересует, Интересует потенциальная возможность расшифровки.

1.zip

thyrex

thyrex

Опубликовано
Опубликовано

Расшифровки ни одной из версий GlobeImposter 2 нет.

 

Просьба: сообщение вымогателей для связи прикрепите в архиве к следующему сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Читску мусора выполнять не будем?

satone667

satone667

Опубликовано
  • Автор
Опубликовано

Обязательно почищу, только что конкретно? Если Вы про очистку от вирусов, то ни KVRT, ни cureit вирус не определяет, я его вручную нашел.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] C:\windows\system32\cmd.exe
IFEO\Utilman.exe: [Debugger] C:\windows\system32\cmd.exe
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\pdm\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\NetworkService\Local Settings\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\NetworkService\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\LocalService\Local Settings\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\LocalService\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Главное меню\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Local Settings\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\Default User\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Мои документы\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Главное меню\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Local Settings\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\arial\Application Data\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\All Users\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\All Users\Главное меню\How to restore your files.hta
2018-07-15 13:22 - 2018-07-15 13:22 - 000004192 _____ C:\Documents and Settings\All Users\Application Data\How to restore your files.hta
2018-07-15 13:21 - 2018-07-15 13:21 - 000004192 _____ C:\Documents and Settings\pdm\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Гость\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Гость\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Мои документы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Главное меню\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Local Settings\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\Администратор\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Мои документы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Главное меню\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Local Settings\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Local Settings\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\satone\Application Data\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Рабочий стол\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Мои документы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Главное меню\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\Local Settings\How to restore your files.hta
2018-07-15 13:15 - 2018-07-15 13:15 - 000004192 _____ C:\Documents and Settings\pdm\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Рабочий стол\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Мои документы\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Главное меню\Программы\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Главное меню\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\Local Settings\How to restore your files.hta
2018-07-15 13:14 - 2018-07-15 13:14 - 000004192 _____ C:\Documents and Settings\Гость\How to restore your files.hta
2018-07-15 12:37 - 2018-07-15 12:37 - 000004192 _____ C:\Program Files\How to restore your files.hta
2018-07-15 12:37 - 2018-07-15 00:57 - 000054272 _____ C:\Documents and Settings\pdm\Мои документы\svchost.exe
2018-07-15 12:37 - 2018-07-15 00:57 - 000054272 _____ C:\Documents and Settings\pdm\Application Data\svchost.exe.asdasd
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:093F867E [116]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:C489C9E9 [194]
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
  • 11 месяцев спустя...
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Yann
      [РЕШЕНО] Проблема не решилась.
      Автор Yann
      И снова здраствуйте.
      Недавно обращался по поводу вируса который пережил снос винды и форматирование, казалось что проблема была решена, но как оказалось не полностью.
      Сегодня при скачке экзешника мод менеджера с официального сайта снова был детект антивирусом, тоже самое что было при скачивании экзешника браузера из прошлой темы.
      Пробовал скачивать с других устройств, по той же ссылке и проблем не возникало, другие люди по моей просьбе повторяли это действие и тоже без проблем, так что это очевидно не проблема ресурса с которого скачивалось.
      Такое ощущение что он пытается подделывать здоровые исполнительные файлы на лету, как только они попадают на пк.
      Ради интереса сделал несколько попыток скачать надеясь увидеть в журнале карантина что нибудь полезное.
      Судя по всему маскируется под временные файлы системы, доктор веб определяет его как trojan.siggen31.50695, при этом ни CureIt ни KVRT ничего не находят при скане.
      С системой пока что никаких проблем нету, не излишних нагрузок, не просадок стабильности, но очевидно что там что то осталось.
      Прошу помощи добить эту заразу!
      Прикладываю новые логи и скрин из журнала карантина:
       
      CollectionLog-2025.08.26-18.15.zip
    • DrRybkin
      [РЕШЕНО] Поймал Trojan.Packed2.49814
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • wekai
      [РЕШЕНО] Майнер XMRig
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...