Перейти к содержанию

Raptorfiles@yahooweb.co Новый вирус вымогатель

Burkhanov
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Это не новый вымогатель. К сожалению, расшифровки нет, как вы вероятно уже поняли.

Если нужна помощь в очистке системы от его следов, сообщите.

 

 

Ссылка на комментарий
Поделиться на другие сайты
Burkhanov Новичок

Burkhanov

Опубликовано
  • Автор
Опубликовано
24 минуты назад, Sandor сказал:

Здравствуйте!

 

Это не новый вымогатель. К сожалению, расшифровки нет, как вы вероятно уже поняли.

Если нужна помощь в очистке системы от его следов, сообщите.

 

 

Да, если можно, т.к тот же самый каспер не видит, базы обновлены, но увы..

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

А ничего вредоносного и нет. Вымогатель был удален по окончании шифрования, автоматически или вручную. Мы будем чистить только следы, по сути - мусор.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
File: C:\Users\Operator\AppData\Local\Temp\Rar$EXa8616.6366\Distrib\gpg.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\rodionov.a\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1514034421812" "b31d3611-f4bc-407e-8d9c-772cd5a77b13"
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Documents\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Desktop\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\how_to_decrypt.hta
2022-06-29 17:27 - 2022-06-29 17:27 - 000006025 _____ C:\Users\manager4\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager4\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Downloads\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Documents\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Desktop\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:24 - 2022-06-29 17:24 - 000006025 _____ C:\Users\hrustaleva.o\Documents\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\how_to_decrypt.hta
2022-06-29 17:17 - 2022-06-29 17:17 - 000006025 _____ C:\Users\hrustaleva.o\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\Default\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\ProgramData\how_to_decrypt.hta
2022-06-29 17:11 - 2022-06-29 17:11 - 000006025 _____ C:\Users\how_to_decrypt.hta
FirewallRules: [{D87E2A51-CBB9-4272-8A05-56B993A71D80}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{9B8FEA5B-62C5-4443-8D33-F9CB67B58C44}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{554B4ED7-607A-42CC-83D1-53267F05DB8E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{F78E051A-66A5-401F-AE3E-2C0C4E11A546}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{D7856DEE-9852-4893-9926-B92B9F481DFF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{12EEF657-AEFB-463E-9BB1-09C561818E9E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{5A1F7C4B-2571-4085-9E56-A70B9ED012DD}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{1267EA67-0DE7-4016-9F5C-869E541049F1}] => (Allow) LPort=3389
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Burkhanov Новичок

Burkhanov

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

А ничего вредоносного и нет. Вымогатель был удален по окончании шифрования, автоматически или вручную. Мы будем чистить только следы, по сути - мусор.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
File: C:\Users\Operator\AppData\Local\Temp\Rar$EXa8616.6366\Distrib\gpg.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\rodionov.a\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1514034421812" "b31d3611-f4bc-407e-8d9c-772cd5a77b13"
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Documents\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Desktop\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\how_to_decrypt.hta
2022-06-29 17:27 - 2022-06-29 17:27 - 000006025 _____ C:\Users\manager4\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager4\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Downloads\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Documents\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Desktop\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:24 - 2022-06-29 17:24 - 000006025 _____ C:\Users\hrustaleva.o\Documents\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\how_to_decrypt.hta
2022-06-29 17:17 - 2022-06-29 17:17 - 000006025 _____ C:\Users\hrustaleva.o\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\Default\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\ProgramData\how_to_decrypt.hta
2022-06-29 17:11 - 2022-06-29 17:11 - 000006025 _____ C:\Users\how_to_decrypt.hta
FirewallRules: [{D87E2A51-CBB9-4272-8A05-56B993A71D80}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{9B8FEA5B-62C5-4443-8D33-F9CB67B58C44}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{554B4ED7-607A-42CC-83D1-53267F05DB8E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{F78E051A-66A5-401F-AE3E-2C0C4E11A546}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{D7856DEE-9852-4893-9926-B92B9F481DFF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{12EEF657-AEFB-463E-9BB1-09C561818E9E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{5A1F7C4B-2571-4085-9E56-A70B9ED012DD}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{1267EA67-0DE7-4016-9F5C-869E541049F1}] => (Allow) LPort=3389
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сделал. 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пароли на учётную запись администратора и на подключение по RDP смените.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Burkhanov Новичок

Burkhanov

Опубликовано
  • Автор
Опубликовано
18 минут назад, Sandor сказал:

Пароли на учётную запись администратора и на подключение по RDP смените.

 

Проверьте уязвимые места и устаревшее критическое ПО:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

Вот пожалуйста.

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.30.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.0a Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 6.00 (32-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.61 v.8.61 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.7.5 Basic v.13.7.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.15.017.20053 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
 

Обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
  • 3 months later...
Cheated Новичок

Cheated

Опубликовано
Опубликовано

Выкуп не платить!

 

Организованная преступная группа. Все процессы распределены.

Фронт-офис ведет переписку, согласуя условия и тех вопросы с разработчиком.

 

Вам выдвигают условия оплаты расшифровки ваших данных, гарантируя расшифровку тем, что расшифруют пару файлов из тех, что были зашифрованы.

 

Вы отправляете два файла. С небольшими заминками, но все же высылают их вам обратно расшифрованными, после этого вы в надеже на получение зашифрованной информации в целостности и сохранности переводите злоумышленнику(Raptorfiles@yahooweb.co) деньги(в крипте).

А вот дальше вам начинают обещать выслать программу расшифровщик и кормить «завтраками». Просят еще немного подождать.

 

Ждем уже второй месяц!

 

Даже если рассматривать, взлом вашего компьютера и зашифровку данных, как проверку безопасности и попытаться вернуть данные путем оплаты данной услуги, оказалось что вторая сторона так не считает.

 

Оплата требуемой суммы ничего вам не гарантирует!

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • grobique
      Вирус-вымогатель Grok
      От grobique
      Здравствуйте! Образовалась такая ситуация - имеется машина, на Win7 x64, подключенная к интернету. Из портов были открыты 80, 3389, и несколько иных для различных программ, типа 8000 для радио, 25565 для игры, и всё такое. В один прекрасный момент раздается звук перезагрузки системы, и в итоге имею диск зашифрованных файлов.
      Что имеется в архиве - один зашифрованный .bat файл, так же - его копия до сего происшествия, а так же один аудиофайл, так же в зашифрованном и нормальном виде. Само собой, "записочка" от авторов.
      Так же на другой машине Windows 10 очень огрызается на все исполняемые файлы, которые я копирую с зараженного компьютера, говорит десятка, что Neshta.A.
      Desktop.zip FRST.txt Addition.txt
    • SergeyL
      Вирус шифровальщик-вымогатель с расширением *.ELPACO-team...
      От SergeyL
      Здравствуйте, был взломан компьютер через RDP зашифрованы все файлы. При этом свой *.exe файл так же зашифрован.
      Addition.txt FRST.txt для касперского.zip
      зашифрованные.zip
    • андрей77
      Вирус шифровальщик-вымогатель с расширением *.ELPACO-team
      От андрей77
      добрый день.
      возможно через RDP (подбор паролей) попал вирус шифровальщик и почти все файлы с расширением elpaco-team.
      в архиве несколько зараженных файлов и само письмо о выкупе.
      можете помочь расшифровать файлы?
      02.rar
    • C0c024
      Помощь с программой-вымогателем .elons
      От C0c024
      Меня атаковал вирус-вымогатель .elons, я хочу узнать больше информации об этом вредоносном ПО, поскольку то, что я видел на других форумах, решения не существует.Adición.txt  FRST.txt
    • Бека-Алматы
      шифровальщик-вымогатель
      От Бека-Алматы
      Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем
      файл приложил 
      ЛОГИ и файлы.zip
×
×
  • Создать...