Перейти к содержанию

Рекомендуемые сообщения

Доброго времени суток. После установки родителями неизвестное ПО на ПК зашифрованы все файлы. По инструкциям все логи и файлики добавил во вложение. Просьба помочь с данным вирусом и по возможности расшифровать файлы.Desktop.rar

Изменено пользователем arrrtem19
Дополнил пост
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Пока пытаемся определить тип вымогателя. Если есть возможность, пока ничего не предпринимайте в системе. Не исключено, что некоторые файлы понадобится взять в карантин.

Ссылка на сообщение
Поделиться на другие сайты
Цитата

 

C:\Users\User\AppData\Roaming\trace.exe

C:\Users\All Users\DIBsection\lsass.exe

 

проверьте на virustotal.com и прнишлите ссылки на результат анализа

Ссылка на сообщение
Поделиться на другие сайты

trace.exe заархивируйте с паролем malware12345, выложите на файлообменник и пришлите ссылку мне в личные сообщения. Хотя бы посмотрю, что за шифратор.

Ссылка на сообщение
Поделиться на другие сайты

Продолжаем.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    (explorer.exe ->) () [Файл не подписан] C:\Users\User\AppData\Roaming\trace.exe
    (taskeng.exe ->) () [Файл не подписан] C:\ProgramData\DIBsection\lsass.exe
    HKU\S-1-5-21-3316279811-294830108-2985380280-1000\...\Run: [UpdateTask] => C:\Users\User\AppData\Roaming\trace.exe [28160 2022-09-14] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER FILES.txt [2022-09-14] () [Файл не подписан]
    Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER FILES.txt [2022-09-14] () [Файл не подписан]
    Task: {0A5E9395-0EA2-4CE2-AFC4-447ED91F9037} - System32\Tasks\dwmd => C:\HyperwebdriverInto\dwm.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {10188351-6FE1-469B-A968-05D87F6B15FA} - System32\Tasks\service_update => C:\Windows\SchCache\service_update.exe [1403392 2019-05-15] () [Файл не подписан]
    Task: {1BCC8F41-5DC5-4D1D-8AD4-EAE1703E6A7A} - System32\Tasks\wininit => C:\Windows\Cursors\wininit.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {54E39835-2E82-4D66-B29E-537A12CF63DA} - System32\Tasks\chromec => "C:\HyperwebdriverInto\chrome.exe"  (Нет файла)
    Task: {5DD65852-B9E5-4868-BA94-B65790CBCA39} - System32\Tasks\browser => C:\MSOCache\All Users\browser.exe [1403392 2019-05-15] () [Файл не подписан]
    Task: {6DDCB45F-F202-4B9D-A94F-980A8DA6F203} - System32\Tasks\lsass => C:\Users\All Users\DIBsection\lsass.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {799E141B-C262-483B-AE54-F7560F5C4CDC} - System32\Tasks\csrssc => C:\HyperwebdriverInto\csrss.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {87AB9D4C-2B9F-4CDE-8A02-B568E0FEA815} - System32\Tasks\dwm => C:\HyperwebdriverInto\dwm.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {8B85924C-601D-47EB-B37A-AD3CA029B176} - System32\Tasks\lsassl => C:\Users\All Users\DIBsection\lsass.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {A541DC07-1BAB-49CC-BA45-91D157A6B2CE} - System32\Tasks\wininitw => C:\Windows\Cursors\wininit.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {A6D5B614-8C0A-4DD0-A528-4F422CF9E209} - System32\Tasks\conhost => C:\Windows\ServiceProfiles\LocalService\Saved Games\conhost.exe [1403392 2019-05-15] () [Файл не подписан]
    Task: {AC4F26CF-7E8A-4544-9481-1005FBB5872F} - System32\Tasks\chrome => "C:\HyperwebdriverInto\chrome.exe"  (Нет файла)
    Task: {BA4EBAA4-F536-476D-BD67-B8347375E48F} - System32\Tasks\csrss => C:\HyperwebdriverInto\csrss.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {F5C2C249-9453-44AA-A822-C41F16FEB31B} - System32\Tasks\service_updates => C:\Windows\SchCache\service_update.exe [1403392 2019-05-15] () [Файл не подписан]
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
    CHR HKU\S-1-5-21-3316279811-294830108-2985380280-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER FILES.txt
    2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO RECOVER FILES.txt
    2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER FILES.txt
    2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\User\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\User\AppData\Local\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\Downloads\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\Documents\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\KL-AK-FFC9EE91959A75\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Default\HOW TO RECOVER FILES.txt
    Zip: C:\Users\User\AppData\Roaming\trace.exe; C:\Users\Public\999.exe
    2022-09-14 17:52 - 2022-09-14 17:52 - 000028160 _____ C:\Users\User\AppData\Roaming\trace.exe
    2022-08-19 11:10 - 2022-08-19 11:10 - 000062464 _____ C:\Users\Public\999.exe
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003542 _____ C:\Windows\system32\Tasks\browserb
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003528 _____ C:\Windows\system32\Tasks\conhostc
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003478 _____ C:\Windows\system32\Tasks\service_updates
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003478 _____ C:\Windows\system32\Tasks\lsassl
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003462 _____ C:\Windows\system32\Tasks\wininitw
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003462 _____ C:\Windows\system32\Tasks\csrssc
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003460 _____ C:\Windows\system32\Tasks\dwmd
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003460 _____ C:\Windows\system32\Tasks\chromec
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003270 _____ C:\Windows\system32\Tasks\conhost
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003222 _____ C:\Windows\system32\Tasks\lsass
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003220 _____ C:\Windows\system32\Tasks\service_update
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003210 _____ C:\Windows\system32\Tasks\browser
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003208 _____ C:\Windows\system32\Tasks\chrome
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003206 _____ C:\Windows\system32\Tasks\csrss
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003204 _____ C:\Windows\system32\Tasks\wininit
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003202 _____ C:\Windows\system32\Tasks\dwm
    2022-09-14 17:54 - 2015-10-30 07:04 - 000000000 ____D C:\Users\User\AppData\Roaming\DriverPack Cloud
    2022-09-14 17:54 - 2015-10-30 06:54 - 000000000 ____D C:\Users\User\AppData\Roaming\DRPSu
    2022-09-14 17:53 - 2021-03-07 17:07 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
    2022-09-14 17:53 - 2021-03-07 17:06 - 000000000 ____D C:\ProgramData\IObit
    ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    FirewallRules: [{5C98B63E-669B-4E58-A2A3-B32411F71C76}] => (Allow) LPort=13000
    FirewallRules: [{040A8AFA-76F4-4E8E-A49E-E55C48726F23}] => (Allow) LPort=13000
    FirewallRules: [{A9667DBB-D3CA-4C1A-97E5-C077D73C6828}] => (Allow) LPort=14000
    FirewallRules: [{7699E139-C02D-4B7F-88EF-13F94A89AECD}] => (Allow) LPort=13000
    FirewallRules: [{9AF87EA3-486D-4C28-A160-3D553BE1CB8B}] => (Allow) LPort=13000
    FirewallRules: [{21F60461-9473-428F-9ACC-EBEF08FB0935}] => (Allow) LPort=14000
    FirewallRules: [{F2E60A4A-25C1-48D2-AD54-49E7794489BB}] => (Allow) LPort=13000
    FirewallRules: [{5ADBFA41-ABA1-4F87-98D5-2A66F80746C8}] => (Allow) LPort=13000
    FirewallRules: [{9061A833-E6CA-4AAD-8010-B91B38893012}] => (Allow) LPort=14000
    FirewallRules: [{59E26B55-7557-4C22-86E9-728DEC877097}] => (Allow) LPort=1688
    FirewallRules: [{4D26C4BC-91D7-497E-9C1B-1F1829B17C9E}] => (Allow) LPort=1688
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

+ AES-128 шифрование с 40-символьным ключом и рандомной солью. Брутфорс не рационален по времени.

Ссылка на сообщение
Поделиться на другие сайты
22.09.2022 в 08:17, Sandor сказал:

Продолжаем.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    (explorer.exe ->) () [Файл не подписан] C:\Users\User\AppData\Roaming\trace.exe
    (taskeng.exe ->) () [Файл не подписан] C:\ProgramData\DIBsection\lsass.exe
    HKU\S-1-5-21-3316279811-294830108-2985380280-1000\...\Run: [UpdateTask] => C:\Users\User\AppData\Roaming\trace.exe [28160 2022-09-14] () [Файл не подписан]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER FILES.txt [2022-09-14] () [Файл не подписан]
    Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HOW TO RECOVER FILES.txt [2022-09-14] () [Файл не подписан]
    Task: {0A5E9395-0EA2-4CE2-AFC4-447ED91F9037} - System32\Tasks\dwmd => C:\HyperwebdriverInto\dwm.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {10188351-6FE1-469B-A968-05D87F6B15FA} - System32\Tasks\service_update => C:\Windows\SchCache\service_update.exe [1403392 2019-05-15] () [Файл не подписан]
    Task: {1BCC8F41-5DC5-4D1D-8AD4-EAE1703E6A7A} - System32\Tasks\wininit => C:\Windows\Cursors\wininit.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {54E39835-2E82-4D66-B29E-537A12CF63DA} - System32\Tasks\chromec => "C:\HyperwebdriverInto\chrome.exe"  (Нет файла)
    Task: {5DD65852-B9E5-4868-BA94-B65790CBCA39} - System32\Tasks\browser => C:\MSOCache\All Users\browser.exe [1403392 2019-05-15] () [Файл не подписан]
    Task: {6DDCB45F-F202-4B9D-A94F-980A8DA6F203} - System32\Tasks\lsass => C:\Users\All Users\DIBsection\lsass.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {799E141B-C262-483B-AE54-F7560F5C4CDC} - System32\Tasks\csrssc => C:\HyperwebdriverInto\csrss.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {87AB9D4C-2B9F-4CDE-8A02-B568E0FEA815} - System32\Tasks\dwm => C:\HyperwebdriverInto\dwm.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {8B85924C-601D-47EB-B37A-AD3CA029B176} - System32\Tasks\lsassl => C:\Users\All Users\DIBsection\lsass.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {A541DC07-1BAB-49CC-BA45-91D157A6B2CE} - System32\Tasks\wininitw => C:\Windows\Cursors\wininit.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {A6D5B614-8C0A-4DD0-A528-4F422CF9E209} - System32\Tasks\conhost => C:\Windows\ServiceProfiles\LocalService\Saved Games\conhost.exe [1403392 2019-05-15] () [Файл не подписан]
    Task: {AC4F26CF-7E8A-4544-9481-1005FBB5872F} - System32\Tasks\chrome => "C:\HyperwebdriverInto\chrome.exe"  (Нет файла)
    Task: {BA4EBAA4-F536-476D-BD67-B8347375E48F} - System32\Tasks\csrss => C:\HyperwebdriverInto\csrss.exe [1403392 2019-05-15] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {F5C2C249-9453-44AA-A822-C41F16FEB31B} - System32\Tasks\service_updates => C:\Windows\SchCache\service_update.exe [1403392 2019-05-15] () [Файл не подписан]
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
    CHR HKU\S-1-5-21-3316279811-294830108-2985380280-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER FILES.txt
    2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\HOW TO RECOVER FILES.txt
    2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HOW TO RECOVER FILES.txt
    2022-09-14 17:56 - 2022-09-14 17:56 - 000000582 _____ C:\ProgramData\Microsoft\Windows\Start Menu\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\User\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\User\AppData\Local\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\Downloads\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Public\Documents\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\KL-AK-FFC9EE91959A75\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\HOW TO RECOVER FILES.txt
    2022-09-14 17:53 - 2022-09-14 17:53 - 000000582 _____ C:\Users\Default\HOW TO RECOVER FILES.txt
    Zip: C:\Users\User\AppData\Roaming\trace.exe; C:\Users\Public\999.exe
    2022-09-14 17:52 - 2022-09-14 17:52 - 000028160 _____ C:\Users\User\AppData\Roaming\trace.exe
    2022-08-19 11:10 - 2022-08-19 11:10 - 000062464 _____ C:\Users\Public\999.exe
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003542 _____ C:\Windows\system32\Tasks\browserb
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003528 _____ C:\Windows\system32\Tasks\conhostc
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003478 _____ C:\Windows\system32\Tasks\service_updates
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003478 _____ C:\Windows\system32\Tasks\lsassl
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003462 _____ C:\Windows\system32\Tasks\wininitw
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003462 _____ C:\Windows\system32\Tasks\csrssc
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003460 _____ C:\Windows\system32\Tasks\dwmd
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003460 _____ C:\Windows\system32\Tasks\chromec
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003270 _____ C:\Windows\system32\Tasks\conhost
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003222 _____ C:\Windows\system32\Tasks\lsass
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003220 _____ C:\Windows\system32\Tasks\service_update
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003210 _____ C:\Windows\system32\Tasks\browser
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003208 _____ C:\Windows\system32\Tasks\chrome
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003206 _____ C:\Windows\system32\Tasks\csrss
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003204 _____ C:\Windows\system32\Tasks\wininit
    2022-07-08 11:38 - 2022-07-08 11:38 - 000003202 _____ C:\Windows\system32\Tasks\dwm
    2022-09-14 17:54 - 2015-10-30 07:04 - 000000000 ____D C:\Users\User\AppData\Roaming\DriverPack Cloud
    2022-09-14 17:54 - 2015-10-30 06:54 - 000000000 ____D C:\Users\User\AppData\Roaming\DRPSu
    2022-09-14 17:53 - 2021-03-07 17:07 - 000000000 ____D C:\Users\User\AppData\LocalLow\IObit
    2022-09-14 17:53 - 2021-03-07 17:06 - 000000000 ____D C:\ProgramData\IObit
    ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    FirewallRules: [{5C98B63E-669B-4E58-A2A3-B32411F71C76}] => (Allow) LPort=13000
    FirewallRules: [{040A8AFA-76F4-4E8E-A49E-E55C48726F23}] => (Allow) LPort=13000
    FirewallRules: [{A9667DBB-D3CA-4C1A-97E5-C077D73C6828}] => (Allow) LPort=14000
    FirewallRules: [{7699E139-C02D-4B7F-88EF-13F94A89AECD}] => (Allow) LPort=13000
    FirewallRules: [{9AF87EA3-486D-4C28-A160-3D553BE1CB8B}] => (Allow) LPort=13000
    FirewallRules: [{21F60461-9473-428F-9ACC-EBEF08FB0935}] => (Allow) LPort=14000
    FirewallRules: [{F2E60A4A-25C1-48D2-AD54-49E7794489BB}] => (Allow) LPort=13000
    FirewallRules: [{5ADBFA41-ABA1-4F87-98D5-2A66F80746C8}] => (Allow) LPort=13000
    FirewallRules: [{9061A833-E6CA-4AAD-8010-B91B38893012}] => (Allow) LPort=14000
    FirewallRules: [{59E26B55-7557-4C22-86E9-728DEC877097}] => (Allow) LPort=1688
    FirewallRules: [{4D26C4BC-91D7-497E-9C1B-1F1829B17C9E}] => (Allow) LPort=1688
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Прикрепляю файлик

Fixlog.txt

 

22 часа назад, thyrex сказал:

+ AES-128 шифрование с 40-символьным ключом и рандомной солью. Брутфорс не рационален по времени.

А вот тут чуть-чуть не понял, что надо сделать.

Ссылка на сообщение
Поделиться на другие сайты

Напоследок проверьте уязвимые места и устаревшее критическое ПО:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2005 Данная программа больше не поддерживается разработчиком.
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft SQL Server 2005 Express Edition (KAV_CS_ADMIN_KIT) v.9.4.5000.00 Данная программа больше не поддерживается разработчиком.
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (32-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.1.2 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Audacity 2.3.0 v.2.3.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.03 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Примите к сведению и по возможности исправьте.

 

У вас установлена очень старая версия антивируса, которая давным давно снята с поддержки

Цитата

Kaspersky Administration Kit v.8.0.2134
Плагин управления Антивирусом Касперского 6.0 MP4 v.6.0.4.1424
Антивирус Касперского 6.0 для Windows Workstations v.6.0.4.1424

 

Установите актуальную версию.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Игорь 43
      От Игорь 43
      Уважаемый, Евгений
      Я хочу поделиться со всеми вами историей, которая случилась со мной и может представлять интерес для всех, кто использует криптовалюты и технологии безопасности. Меня зовут Игорь, я житель города Славгород в Алтайском крае России.
      12 июля 2023 года я стал жертвой кражи криптовалюты в размере 1,32605552 BTC. У меня был доступ к моему кошельку только на бумажном носителе, а также через Kaspersky Password Manager, где были сохранены 12 секретных слов для доступа к кошельку в приложении Trust Wallet на моем iPhone XS Max. Удивительным образом, мои средства были переведены на другой кошелек, несмотря на то, что я не получал никаких фишинговых или спам-писем. Касперский предложил обратиться в полицию, чтобы начать официальное расследование, что я и сделал. Уголовное дело было возбуждено, но, к моему сожалению, Kaspersky не отвечает на запросы полиции.
      Я убежден, что в этом деле замешаны сотрудники Kaspersky, так как у меня есть аналогичный кошелек на другом iPhone с такими же секретными словами в Trust Wallet, но без использования Kaspersky Password Manager, и на нем мои средства остаются невредимыми.
      Мне очень важно, чтобы другие пользователи узнали об этой мошеннической схеме, чтобы не стать ее жертвами. Для меня потерянные средства имеют огромное значение, и я поэтому обращаюсь к вам за поддержкой и советом. Может быть, кто-то из вас сталкивался с подобной ситуацией и сможет поделиться своим опытом и советами.
      Спасибо за внимание и понимание.
      Игорь.

    • Максим М
      От Максим М
      Добрый день.
      Во вложении отчёты от FRST64, два зашифрованных файла, письмо вымогателя, ключи и .hta фаил, из-за которого я поставил архив на известный вам пароль. 
      BlackHunt2.zip
    • yaregg
      От yaregg
      Добрый день. Поймал шифровальщика. ПК на ночь остаётся на экране логина в учётку, однако утром был выключен. При запуске были определённые проблемы в связи с побитыми .ini.
      Текстовики и картинки поменяли расширение на .HELL. Также к имени файла добавилось [ID-GZKK2_Mail-HellCity@Tuta.io
      Примеры файлов и лог FRST прилагаю.
      Arch.zip Addition.txt FRST.txt Shortcut.txt
    • intessence
      От intessence
      Здравствуйте, шансы есть?
      vir.zip
    • zhumabek
      От zhumabek
      Я вас хочу предупредить что компания G.space или как в Инстаграме g_space__ это компания  мошенников которые после оплаты кидает людей на деньги, не доверяйте им, они выкладывают не правдивую информацию и сайт с отзывами comment.company принадлежит им и они там исправляют все плохие отзывы на хорошие, если вы увидите это сообщение не переводите им свои деньги , если не верите вот их инстаграм https://instagram.com/g_space___?igshid=MzRlODBiNWFlZA== и телеграм аккаунт @G_Space_Europe 
      , Не переводите им свои деньги, они очень многих людей кинули и вы никогда не сможете вернуть свои деньги 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по персональным продуктам".
×
×
  • Создать...