Перейти к содержанию

Помогите расшифровать hopeandhonest@smime.ninja].[DCBF1153-276AD7C7]


Рекомендуемые сообщения

Здравствуйте!

 

Расшифровки нет. Помощь в очистке системы от следов вымогателя нужна или будет переустановка?

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    Startup: C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-26] () [Файл не подписан]
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {EB0C1681-8922-4FFC-893A-655E7C80C8A6} - System32\Tasks\RDP Wrapper Autoupdate => cmd.exe /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ВНИМАНИЕ
    Folder: C:\Program Files\RDP Wrapper\
    C:\Program Files\RDP Wrapper\
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\Downloads\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\Documents\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\Desktop\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\Roaming\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\LocalLow\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\Local\how_to_decrypt.hta
    2022-07-26 00:30 - 2022-07-26 00:30 - 000001794 _____ C:\Users\Artem\AppData\how_to_decrypt.hta
    2022-07-26 00:19 - 2022-07-26 00:19 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-26 00:09 - 2022-07-26 00:09 - 000001794 _____ C:\ProgramData\how_to_decrypt.hta
    FirewallRules: [{A0D569B0-2093-4098-BD3B-03378BC1910F}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

@besdelnick, жду отчёт о выполнении скрипта.

+

Прикрепите несколько зашифрованных документов в архиве к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • TNA
      От TNA
      Добрый вечер, вирус зашифровал данные на нескольких компьютерах по сети. Система не переустановлена. Помогите пожалуйста восстановить файлы.
    • Zima001
      От Zima001
      Помогите пожалуйста, зашифровали все данные на сервере, бэкап делали больше 3 месяцев назад, работа организации парализована. помогите!!!!!  
    • СМСергей
      От СМСергей
      Зашифровали компьютер, прошу помочь в расшифровке
      hopeandhonest@smime.ninja  ИД 2A89FD49-15216118
      Файлы сгенерированы как описано в инструкции
      files.rar Addition.txt FRST.txt
    • perfual
      От perfual
      Здравствуйте! Помогите расшифровать paybackformistake@qq.com. файлы были зашифрованы 9 месяцев назад вирус прошел по локальной сети с другого пк. ОС переустановлена. прикрепляю файлы и дамп вируса по ссылки на диск изиа того что размер 499 МБ.  https://disk.yandex.ru/d/TS1FO_q8djamvg
      pdf.zip ДОКУМЕНТЫ для ОЗНАКОМЛЕНИЯ.zip Фото.zip
    • Algon
      От Algon
      Здравствуйте.
      Прошу помощи с расшифровкой файлов.
       
      Addition.txt files.rar FRST.txt
×
×
  • Создать...