Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

Это не новый вымогатель. К сожалению, расшифровки нет, как вы вероятно уже поняли.

Если нужна помощь в очистке системы от его следов, сообщите.

 

 

Ссылка на сообщение
Поделиться на другие сайты
24 минуты назад, Sandor сказал:

Здравствуйте!

 

Это не новый вымогатель. К сожалению, расшифровки нет, как вы вероятно уже поняли.

Если нужна помощь в очистке системы от его следов, сообщите.

 

 

Да, если можно, т.к тот же самый каспер не видит, базы обновлены, но увы..

Ссылка на сообщение
Поделиться на другие сайты

А ничего вредоносного и нет. Вымогатель был удален по окончании шифрования, автоматически или вручную. Мы будем чистить только следы, по сути - мусор.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    File: C:\Users\Operator\AppData\Local\Temp\Rar$EXa8616.6366\Distrib\gpg.exe
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\rodionov.a\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1514034421812" "b31d3611-f4bc-407e-8d9c-772cd5a77b13"
    Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Documents\how_to_decrypt.hta
    2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Desktop\how_to_decrypt.hta
    2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\how_to_decrypt.hta
    2022-06-29 17:27 - 2022-06-29 17:27 - 000006025 _____ C:\Users\manager4\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager4\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Downloads\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Documents\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Desktop\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Downloads\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Documents\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Desktop\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Downloads\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Documents\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Desktop\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\Downloads\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:24 - 2022-06-29 17:24 - 000006025 _____ C:\Users\hrustaleva.o\Documents\how_to_decrypt.hta
    2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\how_to_decrypt.hta
    2022-06-29 17:17 - 2022-06-29 17:17 - 000006025 _____ C:\Users\hrustaleva.o\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Downloads\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Documents\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Desktop\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\Default\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\ProgramData\how_to_decrypt.hta
    2022-06-29 17:11 - 2022-06-29 17:11 - 000006025 _____ C:\Users\how_to_decrypt.hta
    FirewallRules: [{D87E2A51-CBB9-4272-8A05-56B993A71D80}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
    FirewallRules: [{9B8FEA5B-62C5-4443-8D33-F9CB67B58C44}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
    FirewallRules: [{554B4ED7-607A-42CC-83D1-53267F05DB8E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
    FirewallRules: [{F78E051A-66A5-401F-AE3E-2C0C4E11A546}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
    FirewallRules: [{D7856DEE-9852-4893-9926-B92B9F481DFF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
    FirewallRules: [{12EEF657-AEFB-463E-9BB1-09C561818E9E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
    FirewallRules: [{5A1F7C4B-2571-4085-9E56-A70B9ED012DD}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
    FirewallRules: [{1267EA67-0DE7-4016-9F5C-869E541049F1}] => (Allow) LPort=3389
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

А ничего вредоносного и нет. Вымогатель был удален по окончании шифрования, автоматически или вручную. Мы будем чистить только следы, по сути - мусор.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    File: C:\Users\Operator\AppData\Local\Temp\Rar$EXa8616.6366\Distrib\gpg.exe
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\rodionov.a\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1514034421812" "b31d3611-f4bc-407e-8d9c-772cd5a77b13"
    Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
    2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Documents\how_to_decrypt.hta
    2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Desktop\how_to_decrypt.hta
    2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\how_to_decrypt.hta
    2022-06-29 17:27 - 2022-06-29 17:27 - 000006025 _____ C:\Users\manager4\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager4\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Downloads\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Documents\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Desktop\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\how_to_decrypt.hta
    2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Downloads\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Documents\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Desktop\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Downloads\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Documents\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Desktop\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\Downloads\how_to_decrypt.hta
    2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:24 - 2022-06-29 17:24 - 000006025 _____ C:\Users\hrustaleva.o\Documents\how_to_decrypt.hta
    2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\how_to_decrypt.hta
    2022-06-29 17:17 - 2022-06-29 17:17 - 000006025 _____ C:\Users\hrustaleva.o\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Downloads\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Documents\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Desktop\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
    2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\Default\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\ProgramData\how_to_decrypt.hta
    2022-06-29 17:11 - 2022-06-29 17:11 - 000006025 _____ C:\Users\how_to_decrypt.hta
    FirewallRules: [{D87E2A51-CBB9-4272-8A05-56B993A71D80}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
    FirewallRules: [{9B8FEA5B-62C5-4443-8D33-F9CB67B58C44}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
    FirewallRules: [{554B4ED7-607A-42CC-83D1-53267F05DB8E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
    FirewallRules: [{F78E051A-66A5-401F-AE3E-2C0C4E11A546}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
    FirewallRules: [{D7856DEE-9852-4893-9926-B92B9F481DFF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
    FirewallRules: [{12EEF657-AEFB-463E-9BB1-09C561818E9E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
    FirewallRules: [{5A1F7C4B-2571-4085-9E56-A70B9ED012DD}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
    FirewallRules: [{1267EA67-0DE7-4016-9F5C-869E541049F1}] => (Allow) LPort=3389
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сделал. 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Пароли на учётную запись администратора и на подключение по RDP смените.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
18 минут назад, Sandor сказал:

Пароли на учётную запись администратора и на подключение по RDP смените.

 

Проверьте уязвимые места и устаревшее критическое ПО:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

Вот пожалуйста.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.30.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.0a Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 6.00 (32-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.61 v.8.61 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.7.5 Basic v.13.7.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.15.017.20053 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
 

Обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
  • 3 months later...

Выкуп не платить!

 

Организованная преступная группа. Все процессы распределены.

Фронт-офис ведет переписку, согласуя условия и тех вопросы с разработчиком.

 

Вам выдвигают условия оплаты расшифровки ваших данных, гарантируя расшифровку тем, что расшифруют пару файлов из тех, что были зашифрованы.

 

Вы отправляете два файла. С небольшими заминками, но все же высылают их вам обратно расшифрованными, после этого вы в надеже на получение зашифрованной информации в целостности и сохранности переводите злоумышленнику(Raptorfiles@yahooweb.co) деньги(в крипте).

А вот дальше вам начинают обещать выслать программу расшифровщик и кормить «завтраками». Просят еще немного подождать.

 

Ждем уже второй месяц!

 

Даже если рассматривать, взлом вашего компьютера и зашифровку данных, как проверку безопасности и попытаться вернуть данные путем оплаты данной услуги, оказалось что вторая сторона так не считает.

 

Оплата требуемой суммы ничего вам не гарантирует!

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Radmin174
      От Radmin174
      Добрый день!
      1. win10 x64
      2. Kaspersky small office Security 21.7.7.393(a)
      3. Нашёл на диске зашифрованные файлы, видимо при работе другого сисадмина был пойман шифровальщик, на тот момент не было способов дешифровки, сейчас вроде на форумах пишут что есть инструкции для этого шифрования, хотелось бы уточнить возможность расшифровки файлов.

      simple.7z
    • Дмитрий Блохин
      От Дмитрий Блохин
      Заявка на панельные ограждения.docx[hopeandhonest@smime.ninja].rar
       
      Поймали вирус. Помогите расшифровать.
    • Lucidlynx
      От Lucidlynx
      Доброго дня, коллеги!
      Словили дрянь которая зашифровало все файлы. (в аттаче пример файлов)
      Подскажите что можно сделать?
      Documents.rar
    • Иван Баженов
      От Иван Баженов
      Добрый день!
      Сервер  Win 2012 R2 был заражен вирусом smime.ninja. Машина была остановлена и восстановлена система из резервной копии. Файлы дополнительного F диска не резервировались и имеют рас название типа: Тортилья с курицей.jpg[hopeandhonest@smime.ninja].[94CECC88-67302ADD]
       
      Также в сервер была включена флеш карта которая была зашифрована и на неё был внедрён вирус. При включении данной флэш карты на другой ПК вирус был обезврежен McAfee и размещён системой в архивный каталог на диске C:\QUARANTINE   Приложить его вам не получилось из за лимита ограничения 12,7 МБ (13 324 899 байт)   Если он понадобится то можно скачать по ссылке с Гугл диска https://drive.google.com/file/d/18p6Lx6HrHlGkDUce6JQbuYtwEBzYMgWF/view?usp=share_link
       
      А также прикладываю файл ТТК.rar зашифрованных файлов с паролем virus
       
       
      ТТК.rar
    • Ivan5
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
×
×
  • Создать...