Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Raptorfiles@yahooweb.co Новый вирус вымогатель

Burkhanov
 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Это не новый вымогатель. К сожалению, расшифровки нет, как вы вероятно уже поняли.

Если нужна помощь в очистке системы от его следов, сообщите.

 

 

Ссылка на комментарий
Поделиться на другие сайты
Burkhanov Новичок

Burkhanov

Опубликовано
  • Автор
Опубликовано
24 минуты назад, Sandor сказал:

Здравствуйте!

 

Это не новый вымогатель. К сожалению, расшифровки нет, как вы вероятно уже поняли.

Если нужна помощь в очистке системы от его следов, сообщите.

 

 

Да, если можно, т.к тот же самый каспер не видит, базы обновлены, но увы..

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

А ничего вредоносного и нет. Вымогатель был удален по окончании шифрования, автоматически или вручную. Мы будем чистить только следы, по сути - мусор.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
File: C:\Users\Operator\AppData\Local\Temp\Rar$EXa8616.6366\Distrib\gpg.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\rodionov.a\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1514034421812" "b31d3611-f4bc-407e-8d9c-772cd5a77b13"
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Documents\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Desktop\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\how_to_decrypt.hta
2022-06-29 17:27 - 2022-06-29 17:27 - 000006025 _____ C:\Users\manager4\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager4\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Downloads\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Documents\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Desktop\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:24 - 2022-06-29 17:24 - 000006025 _____ C:\Users\hrustaleva.o\Documents\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\how_to_decrypt.hta
2022-06-29 17:17 - 2022-06-29 17:17 - 000006025 _____ C:\Users\hrustaleva.o\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\Default\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\ProgramData\how_to_decrypt.hta
2022-06-29 17:11 - 2022-06-29 17:11 - 000006025 _____ C:\Users\how_to_decrypt.hta
FirewallRules: [{D87E2A51-CBB9-4272-8A05-56B993A71D80}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{9B8FEA5B-62C5-4443-8D33-F9CB67B58C44}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{554B4ED7-607A-42CC-83D1-53267F05DB8E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{F78E051A-66A5-401F-AE3E-2C0C4E11A546}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{D7856DEE-9852-4893-9926-B92B9F481DFF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{12EEF657-AEFB-463E-9BB1-09C561818E9E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{5A1F7C4B-2571-4085-9E56-A70B9ED012DD}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{1267EA67-0DE7-4016-9F5C-869E541049F1}] => (Allow) LPort=3389
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Burkhanov Новичок

Burkhanov

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

А ничего вредоносного и нет. Вымогатель был удален по окончании шифрования, автоматически или вручную. Мы будем чистить только следы, по сути - мусор.

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
File: C:\Users\Operator\AppData\Local\Temp\Rar$EXa8616.6366\Distrib\gpg.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\rodionov.a\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(1): mshta.exe -> "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.82 Online" "1514034421812" "b31d3611-f4bc-407e-8d9c-772cd5a77b13"
Task: {31DB9208-DBB5-4707-B9AA-A524EA9279FE} - System32\Tasks\DRPNPS => Command(2): SCHTASKS -> /Delete /TN DRPNPS /F
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Documents\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\Desktop\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:28 - 2022-06-29 17:28 - 000006025 _____ C:\Users\manager4\AppData\how_to_decrypt.hta
2022-06-29 17:27 - 2022-06-29 17:27 - 000006025 _____ C:\Users\manager4\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager4\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Downloads\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Documents\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\Desktop\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\Local\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\manager2\AppData\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\how_to_decrypt.hta
2022-06-29 17:26 - 2022-06-29 17:26 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kznadm\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Documents\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\Desktop\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\Local\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\kovharova.a\AppData\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\Downloads\how_to_decrypt.hta
2022-06-29 17:25 - 2022-06-29 17:25 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:24 - 2022-06-29 17:24 - 000006025 _____ C:\Users\hrustaleva.o\Documents\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:18 - 2022-06-29 17:18 - 000006025 _____ C:\Users\hrustaleva.o\AppData\how_to_decrypt.hta
2022-06-29 17:17 - 2022-06-29 17:17 - 000006025 _____ C:\Users\hrustaleva.o\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\hrustaleva.o\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\gutorova.m\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Downloads\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Documents\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\Desktop\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\LocalLow\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\Local\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\defaultuser0\AppData\how_to_decrypt.hta
2022-06-29 17:15 - 2022-06-29 17:15 - 000006025 _____ C:\Users\Default\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2022-06-29 17:14 - 2022-06-29 17:14 - 000006025 _____ C:\ProgramData\how_to_decrypt.hta
2022-06-29 17:11 - 2022-06-29 17:11 - 000006025 _____ C:\Users\how_to_decrypt.hta
FirewallRules: [{D87E2A51-CBB9-4272-8A05-56B993A71D80}] => (Allow) C:\Program Files (x86)\Remote Manipulator System - Host\rutserv.exe => Нет файла
FirewallRules: [{9B8FEA5B-62C5-4443-8D33-F9CB67B58C44}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{554B4ED7-607A-42CC-83D1-53267F05DB8E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{F78E051A-66A5-401F-AE3E-2C0C4E11A546}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{D7856DEE-9852-4893-9926-B92B9F481DFF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{12EEF657-AEFB-463E-9BB1-09C561818E9E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{5A1F7C4B-2571-4085-9E56-A70B9ED012DD}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{1267EA67-0DE7-4016-9F5C-869E541049F1}] => (Allow) LPort=3389
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Сделал. 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пароли на учётную запись администратора и на подключение по RDP смените.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты
Burkhanov Новичок

Burkhanov

Опубликовано
  • Автор
Опубликовано
18 минут назад, Sandor сказал:

Пароли на учётную запись администратора и на подключение по RDP смените.

 

Проверьте уязвимые места и устаревшее критическое ПО:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 


 

Вот пожалуйста.

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.30.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.0a Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 6.00 (32-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.61 v.8.61 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 13.7.5 Basic v.13.7.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.15.017.20053 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
 

Обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
  • 3 месяца спустя...
Cheated Новичок

Cheated

Опубликовано
Опубликовано

Выкуп не платить!

 

Организованная преступная группа. Все процессы распределены.

Фронт-офис ведет переписку, согласуя условия и тех вопросы с разработчиком.

 

Вам выдвигают условия оплаты расшифровки ваших данных, гарантируя расшифровку тем, что расшифруют пару файлов из тех, что были зашифрованы.

 

Вы отправляете два файла. С небольшими заминками, но все же высылают их вам обратно расшифрованными, после этого вы в надеже на получение зашифрованной информации в целостности и сохранности переводите злоумышленнику(Raptorfiles@yahooweb.co) деньги(в крипте).

А вот дальше вам начинают обещать выслать программу расшифровщик и кормить «завтраками». Просят еще немного подождать.

 

Ждем уже второй месяц!

 

Даже если рассматривать, взлом вашего компьютера и зашифровку данных, как проверку безопасности и попытаться вернуть данные путем оплаты данной услуги, оказалось что вторая сторона так не считает.

 

Оплата требуемой суммы ничего вам не гарантирует!

Ссылка на комментарий
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • norma.ekb
      Шифровальщик-вымогатель .FONL
      Автор norma.ekb
      Добрый день.
      Открыли архив, полученный по почте и после этого все файлы на ПК  изменились на тип FONL. Прошу помочь с расшифровкой.
      Файл шифровальщик сохранен (из полученного архива). 
      Файлы для примера и сообщение вымогателей .rar FRST.rar
    • Antchernov
      Шифровальщик-вымогатель C77L ZerSrv@mail2tor.co
      Автор Antchernov
      Здравствуйте. Словили шифровальщик через RDP, файл шифровальщика удалось найти на рабочем столе учетки Администратора. Зашифровать успел не все, но важным документам и базам 1С досталось. Осложняется все тем, что админ приходящий и он в текущей ситуации стал "очень занят". Прошу помочь с лечением системы и по возможности с расшифровкой, т.к. неизвестно есть ли бэкапы. Систему не лечили никак, логи FRST, зашифрованные фалы и записку прилагаю. Есть нешифрованные версии некоторых файлов, если понадобятся. 
      Addition.txt FRST.txt Zersrv.zip
    • kazakova
      вирус banta
      Автор kazakova
      Добрый день! Подверглись вирусной атаке, все необходимые файлы приложила, пароль на архив 123. Есть ли возможность восстановить файлы?
       
       
       
       
      логи.rarфайлы_зашифрованные.rarфайлы_шифровальщика.rar
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
×
×
  • Создать...