Перейти к содержанию

Зашифрованы файлы на ПК.

arrrtem19
 Поделиться

Рекомендуемые сообщения

arrrtem19

arrrtem19

Опубликовано
Опубликовано (изменено)

Доброго времени суток. После установки родителями неизвестное ПО на ПК зашифрованы все файлы. По инструкциям все логи и файлики добавил во вложение. Просьба помочь с данным вирусом и по возможности расшифровать файлы.Desktop.rar

Изменено пользователем arrrtem19
Дополнил пост
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Пока пытаемся определить тип вымогателя. Если есть возможность, пока ничего не предпринимайте в системе. Не исключено, что некоторые файлы понадобится взять в карантин.

thyrex

thyrex

Опубликовано
Опубликовано
Цитата

 

C:\Users\User\AppData\Roaming\trace.exe

C:\Users\All Users\DIBsection\lsass.exe

 

проверьте на virustotal.com и прнишлите ссылки на результат анализа

thyrex

thyrex

Опубликовано
Опубликовано

trace.exe заархивируйте с паролем malware12345, выложите на файлообменник и пришлите ссылку мне в личные сообщения. Хотя бы посмотрю, что за шифратор.

arrrtem19

arrrtem19

Опубликовано
  • Автор
Опубликовано (изменено)

 

ссылочка

Изменено пользователем Sandor
Убрал ссылку
Sandor

Sandor

Опубликовано
Опубликовано

Продолжаем.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(explorer.exe ->) () [Файл не подписан] C:\Users\User\AppData\Roaming\trace.exe
(taskeng.exe ->) () [Файл не подписан] C:\ProgramData\DIBsection\lsass.exe
HKU\S-1-5-21-3316279811-294830108-2985380280-1000\...\Run: [UpdateTask] => C:\Users\User\AppData\Roaming\trace.exe [28160 2022-09-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER FILES.txt [2022-09-14] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER FILES.txt [2022-09-14] () [Файл не подписан]
Task: {0A5E9395-0EA2-4CE2-AFC4-447ED91F9037} - System32\Tasks\dwmd => C:\HyperwebdriverInto\dwm.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {10188351-6FE1-469B-A968-05D87F6B15FA} - System32\Tasks\service_update => C:\Windows\SchCache\service_update.exe [1403392 2019-05-15] () [Файл не подписан]
Task: {1BCC8F41-5DC5-4D1D-8AD4-EAE1703E6A7A} - System32\Tasks\wininit => C:\Windows\Cursors\wininit.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {54E39835-2E82-4D66-B29E-537A12CF63DA} - System32\Tasks\chromec => "C:\HyperwebdriverInto\chrome.exe"  (Нет файла)
Task: {5DD65852-B9E5-4868-BA94-B65790CBCA39} - System32\Tasks\browser => C:\MSOCache\All Users\browser.exe [1403392 2019-05-15] () [Файл не подписан]
Task: {6DDCB45F-F202-4B9D-A94F-980A8DA6F203} - System32\Tasks\lsass => C:\Users\All Users\DIBsection\lsass.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {799E141B-C262-483B-AE54-F7560F5C4CDC} - System32\Tasks\csrssc => C:\HyperwebdriverInto\csrss.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {87AB9D4C-2B9F-4CDE-8A02-B568E0FEA815} - System32\Tasks\dwm => C:\HyperwebdriverInto\dwm.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {8B85924C-601D-47EB-B37A-AD3CA029B176} - System32\Tasks\lsassl => C:\Users\All Users\DIBsection\lsass.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {A541DC07-1BAB-49CC-BA45-91D157A6B2CE} - System32\Tasks\wininitw => C:\Windows\Cursors\wininit.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {A6D5B614-8C0A-4DD0-A528-4F422CF9E209} - System32\Tasks\conhost => C:\Windows\ServiceProfiles\LocalService\Saved Games\conhost.exe [1403392 2019-05-15] () [Файл не подписан]
Task: {AC4F26CF-7E8A-4544-9481-1005FBB5872F} - System32\Tasks\chrome => "C:\HyperwebdriverInto\chrome.exe"  (Нет файла)
Task: {BA4EBAA4-F536-476D-BD67-B8347375E48F} - System32\Tasks\csrss => C:\HyperwebdriverInto\csrss.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {F5C2C249-9453-44AA-A822-C41F16FEB31B} - System32\Tasks\service_updates => C:\Windows\SchCache\service_update.exe [1403392 2019-05-15] () [Файл не подписан]
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
CHR HKU\S-1-5-21-3316279811-294830108-2985380280-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER FILES.txt
2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO RECOVER FILES.txt
2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER FILES.txt
2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\User\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\User\AppData\Local\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\Downloads\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\Documents\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\KL-AK-FFC9EE91959A75\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Default\HOW TO RECOVER FILES.txt
Zip: C:\Users\User\AppData\Roaming\trace.exe; C:\Users\Public\999.exe
2022-09-14 17:52 - 2022-09-14 17:52 - 000028160 _____ C:\Users\User\AppData\Roaming\trace.exe
2022-08-19 11:10 - 2022-08-19 11:10 - 000062464 _____ C:\Users\Public\999.exe
2022-07-08 11:38 - 2022-07-08 11:38 - 000003542 _____ C:\Windows\system32\Tasks\browserb
2022-07-08 11:38 - 2022-07-08 11:38 - 000003528 _____ C:\Windows\system32\Tasks\conhostc
2022-07-08 11:38 - 2022-07-08 11:38 - 000003478 _____ C:\Windows\system32\Tasks\service_updates
2022-07-08 11:38 - 2022-07-08 11:38 - 000003478 _____ C:\Windows\system32\Tasks\lsassl
2022-07-08 11:38 - 2022-07-08 11:38 - 000003462 _____ C:\Windows\system32\Tasks\wininitw
2022-07-08 11:38 - 2022-07-08 11:38 - 000003462 _____ C:\Windows\system32\Tasks\csrssc
2022-07-08 11:38 - 2022-07-08 11:38 - 000003460 _____ C:\Windows\system32\Tasks\dwmd
2022-07-08 11:38 - 2022-07-08 11:38 - 000003460 _____ C:\Windows\system32\Tasks\chromec
2022-07-08 11:38 - 2022-07-08 11:38 - 000003270 _____ C:\Windows\system32\Tasks\conhost
2022-07-08 11:38 - 2022-07-08 11:38 - 000003222 _____ C:\Windows\system32\Tasks\lsass
2022-07-08 11:38 - 2022-07-08 11:38 - 000003220 _____ C:\Windows\system32\Tasks\service_update
2022-07-08 11:38 - 2022-07-08 11:38 - 000003210 _____ C:\Windows\system32\Tasks\browser
2022-07-08 11:38 - 2022-07-08 11:38 - 000003208 _____ C:\Windows\system32\Tasks\chrome
2022-07-08 11:38 - 2022-07-08 11:38 - 000003206 _____ C:\Windows\system32\Tasks\csrss
2022-07-08 11:38 - 2022-07-08 11:38 - 000003204 _____ C:\Windows\system32\Tasks\wininit
2022-07-08 11:38 - 2022-07-08 11:38 - 000003202 _____ C:\Windows\system32\Tasks\dwm
2022-09-14 17:54 - 2015-10-30 07:04 - 000000000 ____D C:\Users\User\AppData\Roaming\DriverPack Cloud
2022-09-14 17:54 - 2015-10-30 06:54 - 000000000 ____D C:\Users\User\AppData\Roaming\DRPSu
2022-09-14 17:53 - 2021-03-07 17:07 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
2022-09-14 17:53 - 2021-03-07 17:06 - 000000000 ____D C:\ProgramData\IObit
ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{5C98B63E-669B-4E58-A2A3-B32411F71C76}] => (Allow) LPort=13000
FirewallRules: [{040A8AFA-76F4-4E8E-A49E-E55C48726F23}] => (Allow) LPort=13000
FirewallRules: [{A9667DBB-D3CA-4C1A-97E5-C077D73C6828}] => (Allow) LPort=14000
FirewallRules: [{7699E139-C02D-4B7F-88EF-13F94A89AECD}] => (Allow) LPort=13000
FirewallRules: [{9AF87EA3-486D-4C28-A160-3D553BE1CB8B}] => (Allow) LPort=13000
FirewallRules: [{21F60461-9473-428F-9ACC-EBEF08FB0935}] => (Allow) LPort=14000
FirewallRules: [{F2E60A4A-25C1-48D2-AD54-49E7794489BB}] => (Allow) LPort=13000
FirewallRules: [{5ADBFA41-ABA1-4F87-98D5-2A66F80746C8}] => (Allow) LPort=13000
FirewallRules: [{9061A833-E6CA-4AAD-8010-B91B38893012}] => (Allow) LPort=14000
FirewallRules: [{59E26B55-7557-4C22-86E9-728DEC877097}] => (Allow) LPort=1688
FirewallRules: [{4D26C4BC-91D7-497E-9C1B-1F1829B17C9E}] => (Allow) LPort=1688
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

thyrex

thyrex

Опубликовано
Опубликовано

+ AES-128 шифрование с 40-символьным ключом и рандомной солью. Брутфорс не рационален по времени.

arrrtem19

arrrtem19

Опубликовано
  • Автор
Опубликовано
22.09.2022 в 08:17, Sandor сказал:

Продолжаем.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(explorer.exe ->) () [Файл не подписан] C:\Users\User\AppData\Roaming\trace.exe
(taskeng.exe ->) () [Файл не подписан] C:\ProgramData\DIBsection\lsass.exe
HKU\S-1-5-21-3316279811-294830108-2985380280-1000\...\Run: [UpdateTask] => C:\Users\User\AppData\Roaming\trace.exe [28160 2022-09-14] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER FILES.txt [2022-09-14] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER FILES.txt [2022-09-14] () [Файл не подписан]
Task: {0A5E9395-0EA2-4CE2-AFC4-447ED91F9037} - System32\Tasks\dwmd => C:\HyperwebdriverInto\dwm.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {10188351-6FE1-469B-A968-05D87F6B15FA} - System32\Tasks\service_update => C:\Windows\SchCache\service_update.exe [1403392 2019-05-15] () [Файл не подписан]
Task: {1BCC8F41-5DC5-4D1D-8AD4-EAE1703E6A7A} - System32\Tasks\wininit => C:\Windows\Cursors\wininit.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {54E39835-2E82-4D66-B29E-537A12CF63DA} - System32\Tasks\chromec => "C:\HyperwebdriverInto\chrome.exe"  (Нет файла)
Task: {5DD65852-B9E5-4868-BA94-B65790CBCA39} - System32\Tasks\browser => C:\MSOCache\All Users\browser.exe [1403392 2019-05-15] () [Файл не подписан]
Task: {6DDCB45F-F202-4B9D-A94F-980A8DA6F203} - System32\Tasks\lsass => C:\Users\All Users\DIBsection\lsass.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {799E141B-C262-483B-AE54-F7560F5C4CDC} - System32\Tasks\csrssc => C:\HyperwebdriverInto\csrss.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {87AB9D4C-2B9F-4CDE-8A02-B568E0FEA815} - System32\Tasks\dwm => C:\HyperwebdriverInto\dwm.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {8B85924C-601D-47EB-B37A-AD3CA029B176} - System32\Tasks\lsassl => C:\Users\All Users\DIBsection\lsass.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {A541DC07-1BAB-49CC-BA45-91D157A6B2CE} - System32\Tasks\wininitw => C:\Windows\Cursors\wininit.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {A6D5B614-8C0A-4DD0-A528-4F422CF9E209} - System32\Tasks\conhost => C:\Windows\ServiceProfiles\LocalService\Saved Games\conhost.exe [1403392 2019-05-15] () [Файл не подписан]
Task: {AC4F26CF-7E8A-4544-9481-1005FBB5872F} - System32\Tasks\chrome => "C:\HyperwebdriverInto\chrome.exe"  (Нет файла)
Task: {BA4EBAA4-F536-476D-BD67-B8347375E48F} - System32\Tasks\csrss => C:\HyperwebdriverInto\csrss.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {F5C2C249-9453-44AA-A822-C41F16FEB31B} - System32\Tasks\service_updates => C:\Windows\SchCache\service_update.exe [1403392 2019-05-15] () [Файл не подписан]
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
CHR HKU\S-1-5-21-3316279811-294830108-2985380280-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER FILES.txt
2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO RECOVER FILES.txt
2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER FILES.txt
2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\User\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\User\AppData\Local\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\Downloads\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\Documents\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\KL-AK-FFC9EE91959A75\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\HOW TO RECOVER FILES.txt
2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Default\HOW TO RECOVER FILES.txt
Zip: C:\Users\User\AppData\Roaming\trace.exe; C:\Users\Public\999.exe
2022-09-14 17:52 - 2022-09-14 17:52 - 000028160 _____ C:\Users\User\AppData\Roaming\trace.exe
2022-08-19 11:10 - 2022-08-19 11:10 - 000062464 _____ C:\Users\Public\999.exe
2022-07-08 11:38 - 2022-07-08 11:38 - 000003542 _____ C:\Windows\system32\Tasks\browserb
2022-07-08 11:38 - 2022-07-08 11:38 - 000003528 _____ C:\Windows\system32\Tasks\conhostc
2022-07-08 11:38 - 2022-07-08 11:38 - 000003478 _____ C:\Windows\system32\Tasks\service_updates
2022-07-08 11:38 - 2022-07-08 11:38 - 000003478 _____ C:\Windows\system32\Tasks\lsassl
2022-07-08 11:38 - 2022-07-08 11:38 - 000003462 _____ C:\Windows\system32\Tasks\wininitw
2022-07-08 11:38 - 2022-07-08 11:38 - 000003462 _____ C:\Windows\system32\Tasks\csrssc
2022-07-08 11:38 - 2022-07-08 11:38 - 000003460 _____ C:\Windows\system32\Tasks\dwmd
2022-07-08 11:38 - 2022-07-08 11:38 - 000003460 _____ C:\Windows\system32\Tasks\chromec
2022-07-08 11:38 - 2022-07-08 11:38 - 000003270 _____ C:\Windows\system32\Tasks\conhost
2022-07-08 11:38 - 2022-07-08 11:38 - 000003222 _____ C:\Windows\system32\Tasks\lsass
2022-07-08 11:38 - 2022-07-08 11:38 - 000003220 _____ C:\Windows\system32\Tasks\service_update
2022-07-08 11:38 - 2022-07-08 11:38 - 000003210 _____ C:\Windows\system32\Tasks\browser
2022-07-08 11:38 - 2022-07-08 11:38 - 000003208 _____ C:\Windows\system32\Tasks\chrome
2022-07-08 11:38 - 2022-07-08 11:38 - 000003206 _____ C:\Windows\system32\Tasks\csrss
2022-07-08 11:38 - 2022-07-08 11:38 - 000003204 _____ C:\Windows\system32\Tasks\wininit
2022-07-08 11:38 - 2022-07-08 11:38 - 000003202 _____ C:\Windows\system32\Tasks\dwm
2022-09-14 17:54 - 2015-10-30 07:04 - 000000000 ____D C:\Users\User\AppData\Roaming\DriverPack Cloud
2022-09-14 17:54 - 2015-10-30 06:54 - 000000000 ____D C:\Users\User\AppData\Roaming\DRPSu
2022-09-14 17:53 - 2021-03-07 17:07 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
2022-09-14 17:53 - 2021-03-07 17:06 - 000000000 ____D C:\ProgramData\IObit
ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{5C98B63E-669B-4E58-A2A3-B32411F71C76}] => (Allow) LPort=13000
FirewallRules: [{040A8AFA-76F4-4E8E-A49E-E55C48726F23}] => (Allow) LPort=13000
FirewallRules: [{A9667DBB-D3CA-4C1A-97E5-C077D73C6828}] => (Allow) LPort=14000
FirewallRules: [{7699E139-C02D-4B7F-88EF-13F94A89AECD}] => (Allow) LPort=13000
FirewallRules: [{9AF87EA3-486D-4C28-A160-3D553BE1CB8B}] => (Allow) LPort=13000
FirewallRules: [{21F60461-9473-428F-9ACC-EBEF08FB0935}] => (Allow) LPort=14000
FirewallRules: [{F2E60A4A-25C1-48D2-AD54-49E7794489BB}] => (Allow) LPort=13000
FirewallRules: [{5ADBFA41-ABA1-4F87-98D5-2A66F80746C8}] => (Allow) LPort=13000
FirewallRules: [{9061A833-E6CA-4AAD-8010-B91B38893012}] => (Allow) LPort=14000
FirewallRules: [{59E26B55-7557-4C22-86E9-728DEC877097}] => (Allow) LPort=1688
FirewallRules: [{4D26C4BC-91D7-497E-9C1B-1F1829B17C9E}] => (Allow) LPort=1688
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Прикрепляю файлик

Fixlog.txt

 

22 часа назад, thyrex сказал:

+ AES-128 шифрование с 40-символьным ключом и рандомной солью. Брутфорс не рационален по времени.

А вот тут чуть-чуть не понял, что надо сделать.

thyrex

thyrex

Опубликовано
Опубликовано

Написанное мной говорит о невозможности расшифровки с нашей помощью.

Sandor

Sandor

Опубликовано
Опубликовано

Напоследок проверьте уязвимые места и устаревшее критическое ПО:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2005 Данная программа больше не поддерживается разработчиком.
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft SQL Server 2005 Express Edition (KAV_CS_ADMIN_KIT) v.9.4.5000.00 Данная программа больше не поддерживается разработчиком.
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (32-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.1.2 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Audacity 2.3.0 v.2.3.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.03 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Примите к сведению и по возможности исправьте.

 

У вас установлена очень старая версия антивируса, которая давным давно снята с поддержки

Цитата

Kaspersky Administration Kit v.8.0.2134
Плагин управления Антивирусом Касперского 6.0 MP4 v.6.0.4.1424
Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1424

 

Установите актуальную версию.

 

Читайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • mkd
      Как они узнают, что вы искали в интернете?
      Автор mkd
      Друзья, привет! Заранее извиняюсь за возможный оффтоп... но на других ресурсах не смог найти информацию.   Меня, как и всех мучают телефонные мошенники и спамеры... Недавно пришлось установить софт (блокировщики звонков Яндекс+Тинькофф), стало лучше. Но вопрос не в этом.   Меня пугают, что звонящие знают слишком много обо мне: имя, телефон, банк которым пользуюсь и даже что я недавно искал в интернете. Т.е., к примеру, искал строителей - чере некоторое время несколько звонков по этой теме. Спрашиваю: "Откуда у вас этот номер?". Ответ: "Ну, наверно, вы оставили заявку на нашем сайте". Но я ничего не оставляю. И такое часто по разным товарам и услугам (разные сайты, разные сферы).  В браузере стоит AdGuard и некоторые другие приложения, которые блокируют всплывающие окна, автозаполнения и т.д. На винде в разное время стояли разные связки "антивирус+фаервол". Сейчас стоит только Касперский. Винду за эти годы несколько раз менял и компы менял...   Тем не менее, в последнее время я чувствую себя не обычным пользователем интернета, а какой-то мишенью, у которой на роже написаны все паспортные данные. И ещё пугает тенденция. Ещё несколько лет назад были холодные звонки "наобум" типа "возьмите кредит на выгодных условиях". Это понятно, в инет утекла база со связкой "имя+телефон". А сейчас уже связки "имя+номер+ip+поисковые запросы+банки". Блин, как так?? Как они узнают всё это?? Это просто жутко!! Что будет ещё через несколько лет??   При этом, я обычно стараюсь не публиковать ничего о себе, не писать личного на форумах и т.д. У меня есть закрытая страница Вконтакте, но без фото, без номера, без почты и её не обновляю уже 15 лет. Да, мне иногда приходится пользоваться сайтами с объявлениями типа Циан, Авито и т.д. Но это у всех так.   Народ, кто-нибудь шарит в этой теме? Как они узнают всё про человека? Как сайты узнают твоё имя и номер телефона? Что это за цифровой след такой? Как оставаться анонимным в интернете?   Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Михаил79
      зашифровали компьютер с 1С
      Автор Михаил79
      Здравствуйте. Зашифровали рабочий компьютер с 1с
      Addition.txt arhiv.rar FRST.txt
    • sysano
      Azot
      Автор sysano
      Добрый день, уважаемые коллеги. Столкнулся с проблемой, ответа на который не нашёл на форуме, но подобные темы уже создавались. Шифровальщик Azot зашифровал базу данных 1С, а резервное копирование, к сожалению, никто не делал. Антивирус обнаружил вредоносное ПО, и успешно удалил, но это не помогло. Высылаю данные.
      Не могу отправить файлы с расширением azot, но отправил PDF файл (убрал из него это расширение что бы отправилось). Я на связи.
      read.txt
       
       
    • sergei5
      шифровальшик зашировал все данные
      Автор sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • Сергей98352247
      Пропала мышь и появились новые процессы
      Автор Сергей98352247
      Пропала мышь, Kaspersky, появилось много новых процессов. Выключил компьютер, выдернул сетевой шнур, включил. Получил помимо упомянутого, отсутствие всех установленных программ и на вкладке недавние те которые были ранее, ноне все, плюс новые. ничего не открывал, выключил комп.
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями
×
×
  • Создать...