Перейти к содержанию

Raptorfiles@yahooweb.co Новый вирус вымогатель

Burkhanov
 Share Подписчики 2

Рекомендуемые сообщения

Sandor

Sandor 1098

Опубликовано
Опубликовано

Здравствуйте!

 

Это не новый вымогатель. К сожалению, расшифровки нет, как вы вероятно уже поняли.

Если нужна помощь в очистке системы от его следов, сообщите.

 

 

Ссылка на сообщение
Поделиться на другие сайты
Burkhanov

Burkhanov 0

Опубликовано
  • Автор
Опубликовано
24 минуты назад, Sandor сказал:

Здравствуйте!

 

Это не новый вымогатель. К сожалению, расшифровки нет, как вы вероятно уже поняли.

Если нужна помощь в очистке системы от его следов, сообщите.

 

 

Да, если можно, т.к тот же самый каспер не видит, базы обновлены, но увы..

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1098

Опубликовано
Опубликовано

А ничего вредоносного и нет. Вымогатель был удален по окончании шифрования, автоматически или вручную. Мы будем чистить только следы, по сути - мусор.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
File: C:\Users\Operator\AppData\Local\Temp\Rar$EXa8616.6366\Distrib\gpg.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\rodionov.a\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1514034421812" "b31d3611-f4bc-407e-8d9c-772cd5a77b13"
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Documents\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Desktop\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\how_to_decrypt.hta
2022-06-29 17:27 - 2022-06-29 17:27 - 000006025 _____ C:\Users\manager4\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager4\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Downloads\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Documents\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Desktop\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:24 - 2022-06-29 17:24 - 000006025 _____ C:\Users\hrustaleva.o\Documents\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\how_to_decrypt.hta
2022-06-29 17:17 - 2022-06-29 17:17 - 000006025 _____ C:\Users\hrustaleva.o\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\Default\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\ProgramData\how_to_decrypt.hta
2022-06-29 17:11 - 2022-06-29 17:11 - 000006025 _____ C:\Users\how_to_decrypt.hta
FirewallRules: [{D87E2A51-CBB9-4272-8A05-56B993A71D80}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{9B8FEA5B-62C5-4443-8D33-F9CB67B58C44}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{554B4ED7-607A-42CC-83D1-53267F05DB8E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{F78E051A-66A5-401F-AE3E-2C0C4E11A546}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{D7856DEE-9852-4893-9926-B92B9F481DFF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{12EEF657-AEFB-463E-9BB1-09C561818E9E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{5A1F7C4B-2571-4085-9E56-A70B9ED012DD}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{1267EA67-0DE7-4016-9F5C-869E541049F1}] => (Allow) LPort=3389
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Burkhanov

Burkhanov 0

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

А ничего вредоносного и нет. Вымогатель был удален по окончании шифрования, автоматически или вручную. Мы будем чистить только следы, по сути - мусор.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
File: C:\Users\Operator\AppData\Local\Temp\Rar$EXa8616.6366\Distrib\gpg.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\rodionov.a\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1514034421812" "b31d3611-f4bc-407e-8d9c-772cd5a77b13"
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Documents\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Desktop\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\how_to_decrypt.hta
2022-06-29 17:27 - 2022-06-29 17:27 - 000006025 _____ C:\Users\manager4\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager4\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Downloads\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Documents\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Desktop\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:24 - 2022-06-29 17:24 - 000006025 _____ C:\Users\hrustaleva.o\Documents\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\how_to_decrypt.hta
2022-06-29 17:17 - 2022-06-29 17:17 - 000006025 _____ C:\Users\hrustaleva.o\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\Default\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\ProgramData\how_to_decrypt.hta
2022-06-29 17:11 - 2022-06-29 17:11 - 000006025 _____ C:\Users\how_to_decrypt.hta
FirewallRules: [{D87E2A51-CBB9-4272-8A05-56B993A71D80}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{9B8FEA5B-62C5-4443-8D33-F9CB67B58C44}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{554B4ED7-607A-42CC-83D1-53267F05DB8E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{F78E051A-66A5-401F-AE3E-2C0C4E11A546}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{D7856DEE-9852-4893-9926-B92B9F481DFF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{12EEF657-AEFB-463E-9BB1-09C561818E9E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{5A1F7C4B-2571-4085-9E56-A70B9ED012DD}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{1267EA67-0DE7-4016-9F5C-869E541049F1}] => (Allow) LPort=3389
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сделал. 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1098

Опубликовано
Опубликовано

Пароли на учётную запись администратора и на подключение по RDP смените.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Burkhanov

Burkhanov 0

Опубликовано
  • Автор
Опубликовано
18 минут назад, Sandor сказал:

Пароли на учётную запись администратора и на подключение по RDP смените.

 

Проверьте уязвимые места и устаревшее критическое ПО:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

Вот пожалуйста.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1098

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.30.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.0a Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 6.00 (32-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.61 v.8.61 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.7.5 Basic v.13.7.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.15.017.20053 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
 

Обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
  • 3 months later...
Cheated

Cheated 0

Опубликовано
Опубликовано

Выкуп не платить!

 

Организованная преступная группа. Все процессы распределены.

Фронт-офис ведет переписку, согласуя условия и тех вопросы с разработчиком.

 

Вам выдвигают условия оплаты расшифровки ваших данных, гарантируя расшифровку тем, что расшифруют пару файлов из тех, что были зашифрованы.

 

Вы отправляете два файла. С небольшими заминками, но все же высылают их вам обратно расшифрованными, после этого вы в надеже на получение зашифрованной информации в целостности и сохранности переводите злоумышленнику(Raptorfiles@yahooweb.co) деньги(в крипте).

А вот дальше вам начинают обещать выслать программу расшифровщик и кормить «завтраками». Просят еще немного подождать.

 

Ждем уже второй месяц!

 

Даже если рассматривать, взлом вашего компьютера и зашифровку данных, как проверку безопасности и попытаться вернуть данные путем оплаты данной услуги, оказалось что вторая сторона так не считает.

 

Оплата требуемой суммы ничего вам не гарантирует!

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Radmin174
      Шифровальшик Crylock 2.0 [hopeandhonest@smime.ninja]
      От Radmin174
      Добрый день!
      1. win10 x64
      2. Kaspersky small office Security 21.7.7.393(a)
      3. Нашёл на диске зашифрованные файлы, видимо при работе другого сисадмина был пойман шифровальщик, на тот момент не было способов дешифровки, сейчас вроде на форумах пишут что есть инструкции для этого шифрования, хотелось бы уточнить возможность расшифровки файлов.

      simple.7z
    • Дмитрий Блохин
      Сотрудница при просмотре фото подцепила вирус который зашифровал файлы [hopeandhonest@smime.ninja].[94CECC88-67302ADD]
      От Дмитрий Блохин
      Заявка на панельные ограждения.docx[hopeandhonest@smime.ninja].rar
       
      Поймали вирус. Помогите расшифровать.
    • Lucidlynx
      Шифровальщик [@decryptru].[F06F0A36-EE42B32E]
      От Lucidlynx
      Доброго дня, коллеги!
      Словили дрянь которая зашифровало все файлы. (в аттаче пример файлов)
      Подскажите что можно сделать?
      Documents.rar
    • Иван Баженов
      [РАСШИФРОВАНО] Сотрудница при просмотре фото подцепила вирус который зашифровал файлы [hopeandhonest@smime.ninja].[94CECC88-67302ADD]
      От Иван Баженов
      Добрый день!
      Сервер  Win 2012 R2 был заражен вирусом smime.ninja. Машина была остановлена и восстановлена система из резервной копии. Файлы дополнительного F диска не резервировались и имеют рас название типа: Тортилья с курицей.jpg[hopeandhonest@smime.ninja].[94CECC88-67302ADD]
       
      Также в сервер была включена флеш карта которая была зашифрована и на неё был внедрён вирус. При включении данной флэш карты на другой ПК вирус был обезврежен McAfee и размещён системой в архивный каталог на диске C:\QUARANTINE   Приложить его вам не получилось из за лимита ограничения 12,7 МБ (13 324 899 байт)   Если он понадобится то можно скачать по ссылке с Гугл диска https://drive.google.com/file/d/18p6Lx6HrHlGkDUce6JQbuYtwEBzYMgWF/view?usp=share_link
       
      А также прикладываю файл ТТК.rar зашифрованных файлов с паролем virus
       
       
      ТТК.rar
    • Ivan5
      Схватили Trojan.Encoder.567
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
×
×
  • Создать...