Перейти к содержанию

FILES ENCRYPTED savemydata@qq.com

Maxim Shadrin
 Поделиться

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\System32\1EndGame.exe','');
 QuarantineFile('C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe','');
 DeleteService('wscsvs');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','64');
 DeleteFile('C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Windows\System32\1EndGame.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','1EndGame.exe','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Windows\System32\Info.hta','x64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Vasilii\AppData\Roaming\Info.hta','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','C:\Users\Vasilii\AppData\Roaming\Info.hta','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.
  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после скрипта.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнил

ПК нужно перезагрузить?


Результат загрузки Файл сохранён как 190621_062343_quarantine_5d0c77efd4313.zip Размер файла 663937 MD5 d10132bef8f55a2ecf8df3fa1d2c23ba Файл закачан, спасибо!

CollectionLog-2019.06.21-15.42.zip

Изменено пользователем Maxim Shadrin
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пока пароль от RDP не смените на более сложный, будете постоянно зашифровываться.

 

Расшифровки не будет. Только зачистка мусора в системе.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1EndGame.exe [2019-06-21] (ThunderSoft) [File not signed]
Startup: C:\Users\Vasilii\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-06-21] () [File not signed]
2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\Users\Vasilii\Desktop\FILES ENCRYPTED.txt
2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-06-21 14:02 - 2019-06-21 14:02 - 000000168 _____ C:\FILES ENCRYPTED.txt
U5 7C2B28A;  <==== ATTENTION: Locked Service
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужо выполнить вручную после скрипта.
Ссылка на комментарий
Поделиться на другие сайты
Maxim Shadrin Новичок

Maxim Shadrin

Опубликовано
  • Автор
Опубликовано

Злоумышленникам отправили зараженный файл после чего они выслали в расшифрованном виде, этот файл никак не может помочь в расшифровке файлов?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • HugoStigliz
      Словили 1C-files
      Автор HugoStigliz
      Добрый вечер господа, обратились ко мне пострадавшие...
       
      1C-files
       
      Ваш идентификатор (ID) - ****1C-files
       
      образец
       
      ссылка удалена.
       
       
    • Stone_Pickle
      Неизвестный вирус возможно в Program Files\Client Helper
      Автор Stone_Pickle
      Добрый день, на двух компах спустя два месяца после установки одной игрушки пошли проблемы, а именно повышенная нагрузка на ЦП\ГП и слетел PATCH(наверное) к ping arp ipconfig и прочим консольным командам.
      Касперский, Др.Веб, АВЗ под PE и на боевой системе ничего не нашли, подозреваю неизвестный софт по пути из заголовка C:\Program Files\Client Helper
      Windows 10, Windows 11 

      Прикладываю логи с двух компьютеров, буду признателен за любую помощь. Очень не хочется переустанавливать системы
      CollectionLog-2025.03.24-20.59.zip CollectionLog-2025.03.24-21.04.zip
    • Danil4425
      *.1C-files
      Автор Danil4425
      Добрый день, поймали шифровщик, к сожалению тупанул и сразу переустановил под чистую систему, не загуглив, остался 1 жесткий диск зашифрованный на котором была виртуальная машина, хотелось бы по возможности хотя бы её спасти, что я могу сделать, помимо виртуальных дисков были еще файлы которые так же зашифрованы
    • preamble
      [РЕШЕНО] HEUR:Trojan.JS.Trolec.gen по пути C:\Program Files\Client Helper
      Автор preamble
      Приветствую!

      Нашел странную директорию по пути C:\Program Files\Client Helper. В директории имелся логотип Steam и явно должен был притворяться его оверлеем. 
       
      Проверил через Kaspersky Free, файлы были помещены в карантин (директории потенциально опасных файлов приведены на скриншоте). После этого, поспешил деинсталировать вредоносный софт Client Helper 6.1.6, однако, полагаю, что после подобного стоит перепроверить логи еще раз. Отмечу, что после деинсталяции Kaspersky Free вирусов не диагностирует. Наверное, хотелось бы понять причину попадания вируса в том числе
       
      Помимо этого, в логах не нашел информации об этом, однако, директория была создана 24.11.2024 (к сожалению, сканирование логов устроил после удаления).
       
      Замечу, что я не замечал каких-либо подозрительных изменений в поведении ПК на протяжении всего времени

      CollectionLog-2025.03.30-21.11.zip
    • Merkyrii
      Шифровальщик 1C-FILES
      Автор Merkyrii
      Здравствуйте! Зашифровали файлы, помогите пожалуйста!
      Вот такой идентификатор присвоили Pjdu1P2j_xEYzji9wNho1CWNQd-MiCDeuHgu1eLslmM*1C-files
      Файлы.zip
×
×
  • Создать...