Перейти к содержанию

Подцепил шифровальщик-вымогатель


Рекомендуемые сообщения

Здравствуйте!

Все работало стабильно, выключил компьютер два месяца не работал, после включение обнаружил что все зашифровано.

Вопрос: подключилархиве с паролем2.rarся к этому компьютеру удаленно с другого и скопировал папку, получается этот комп тоже заразился и те кто в сети с этим компьютером?

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

Ссылка на сообщение
Поделиться на другие сайты

Переделал, отметив еще чек-бокс:  "Файлы за 90 дней"

FRST.txt Addition.txt

 

38 минут назад, Sandor сказал:

Здравствуйте!

 

Расшифровка есть. Но сначала чистим следы и закрываем дыры.

Переделайте, пожалуйста, логи, отметив галочкой пункт "90 дней".

Переделал, отметив еще чек-бокс:  "Файлы за 90 дней"

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7 :)

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
    Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
    Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
    Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
    Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
    Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
    Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
    Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
    Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
    Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
    Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
    Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
    Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
    Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
    Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
    Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
    Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
    Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
    Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
    Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
    Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
    Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
    Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
    Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
    Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
    Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
    Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
    Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
    Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
    Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
    Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
    2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
    2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
    2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
    2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
    FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Sandor сказал:

Нет, не забыли. Но вы должны понимать, мы тут не находимся онлайн 24/7 :)

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    
    
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {82848618-4549-11ec-9eac-cc156c1724a0} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {8fd9ce23-4076-11ec-9ea5-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a9554154-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {a95541bf-415c-11ec-9ea8-0c9d92846d3b} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da851b-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da857d-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {d1da873a-43a0-11ec-9eab-001e101f0000} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c5f85-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    HKU\S-1-5-21-1840764939-1996839579-4058035734-1001\...\MountPoints2: {fd8c632c-454a-11ec-9ead-fc610b478ca9} - "E:\AutoRun.exe" 
    IFEO\notepad.exe: [Debugger] "C:\Program Files\AkelPad\AkelPad.exe" /z
    Startup: C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-07-12] () [Файл не подписан]
    Task: {18d157d7-b0eb-4a1a-9358-e3dfee6d2bb7} - отсутствует путь к файлу
    Task: {1e8c3eea-a490-4aec-9ce1-ac2e763041e1} - отсутствует путь к файлу
    Task: {3b0705c3-35cc-4d69-b741-73422117635a} - отсутствует путь к файлу
    Task: {41580d92-b212-4c1d-97be-6fe3012f8ea8} - отсутствует путь к файлу
    Task: {51abf48d-8c22-4158-889f-e30c82e1b2fa} - отсутствует путь к файлу
    Task: {561fadec-c859-4562-b1a7-de6e89fbfeaa} - отсутствует путь к файлу
    Task: {76c4e170-33ce-4ed0-8374-211b7fd6accc} - отсутствует путь к файлу
    Task: {803e239a-f206-4cdc-a26a-34f5eb435b15} - отсутствует путь к файлу
    Task: {825da189-67cc-48a7-b684-0af10a54ba54} - отсутствует путь к файлу
    Task: {903eadea-bfb0-46d8-9bdf-f6660aa4f9e7} - отсутствует путь к файлу
    Task: {917b4d88-0ee6-43c0-96c3-7c75897029e5} - отсутствует путь к файлу
    Task: {93e45aad-2046-4ae8-a481-2d2a0ec9ee01} - отсутствует путь к файлу
    Task: {975da46a-56d4-4f34-95a3-abab6f0b47ff} - отсутствует путь к файлу
    Task: {97979d40-cf6a-4b0e-a74b-d3250a5a908a} - отсутствует путь к файлу
    Task: {a8badc6e-0660-4df5-84e8-67e8e22bdb04} - отсутствует путь к файлу
    Task: {aaef8c82-d057-42e5-8bcb-b07ca7122465} - отсутствует путь к файлу
    Task: {b0895504-ffca-4062-a96a-ca0335a7fc6e} - отсутствует путь к файлу
    Task: {b0badb98-00f0-4813-b110-f0b5892c0fb7} - отсутствует путь к файлу
    Task: {b873f7d9-a172-4524-a5d6-e2f6e465177c} - отсутствует путь к файлу
    Task: {be728a31-a242-4093-a109-00259e96e015} - отсутствует путь к файлу
    Task: {bf492ef1-3f3a-489c-9b06-275b14b53381} - отсутствует путь к файлу
    Task: {c0f1475c-e660-41c7-ad9f-6e99ee15ba68} - отсутствует путь к файлу
    Task: {c3ff6f8f-105f-46a1-b509-2d6461e3b167} - отсутствует путь к файлу
    Task: {c9c3e9e0-6cd7-4abc-949b-159bf2ea78bd} - отсутствует путь к файлу
    Task: {ce24242a-58bc-4df3-a1c7-10942eb5ea84} - отсутствует путь к файлу
    Task: {cf12caa9-3673-4073-b697-f2740858866e} - отсутствует путь к файлу
    Task: {d2ace471-610f-41d7-a85e-bbbdd9437950} - отсутствует путь к файлу
    Task: {e4175b21-eb37-4998-ab29-d2af974d1471} - отсутствует путь к файлу
    Task: {eac9e4dc-c51a-4299-b05f-506d275ad245} - отсутствует путь к файлу
    2022-07-12 14:58 - 2022-07-12 14:58 - 000001794 _____ C:\Users\mrdob\how_to_decrypt.hta
    2022-07-12 14:51 - 2022-07-12 14:51 - 000001794 _____ C:\Users\mrdob\Downloads\how_to_decrypt.hta
    2022-07-12 14:39 - 2022-07-12 14:39 - 000001794 _____ C:\Users\mrdob\Documents\how_to_decrypt.hta
    2022-07-12 13:05 - 2022-07-12 13:05 - 000001794 _____ C:\Users\mrdob\Desktop\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ C:\Users\mrdob\AppData\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ C:\Users\mrdob\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\LocalLow\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2022-06-29 12:08 - 2022-06-29 12:08 - 000001794 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2022-07-12 13:01 - 2022-07-12 13:01 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\how_to_decrypt.hta
    2022-07-12 12:54 - 2022-07-12 12:54 - 000001794 _____ () C:\Users\mrdob\AppData\Roaming\Microsoft\how_to_decrypt.hta
    2022-07-12 12:37 - 2022-07-12 12:37 - 000001794 _____ () C:\Users\mrdob\AppData\Local\how_to_decrypt.hta
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:CursorPos [890]
    AlternateDataStreams: C:\Users\mrdob\Desktop\Eu-Si__1.mq5[hopeandhonest@smime.ninja].[3531D0C9-158CF735]:LineFlags [866]
    FirewallRules: [{F7C3A863-B6AD-464A-B7C9-C06913142CA2}] => (Allow) LPort=139
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Понял, сделал.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Не нужно полностью цитировать предыдущее сообщение. Достаточно написать в нижнем поле быстрого ответа.

 

Сейчас отправлю личное сообщение.

Ссылка на сообщение
Поделиться на другие сайты

Идет расшифровка и много уже расшифровал!!!))
Да некоторые файлы остались в зашифрованном сфайлы остались в зашифрованном состоянии.rarостоянии. Прикрепил архив с примером которые не расшифровал.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо большое! расшифровка идет хорошо!)👏

Осталось 73 файла которые не расшифровал.

остатки не расшифрованных файлов3.rar

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • djjg25
      От djjg25
      Касперский вирус ремовал тул нашёл 37 вирусов. Я не знаю как вирус попал на мой пк и что с ним делать. Антивирусов никогда на этот компьютер не ставил, только на прошлый, диск от которого вставил в этот. Пользуюсь только виндоус дефендером. 
      CollectionLog-2024.03.27-18.39.zip
    • AndrusBelarus
      От AndrusBelarus
      Доброй ночи! Подхватил какую-то фигню:
       - никак не удаляется, новые процессы в итоге выводят каждый раз в новые папки. Сразу после оповещения от дефендера винды вырубил инет на всякий случай, вот что показал дефендер, сам он удалить не может:
       
      Trojan:Win64/Glupteba!MTB
      Trojan:Win32/Acll
       
      P.S. после перезагрузки теперь на пол экрана идёт спам консольных окон и на каждую ошибка что "файл не обнаружен"
       
      UPD. 
      Вскакивают периодически такие процессы как: 
      QMEmulatorService - процесс есть, удалить файл (.txt) не даёт 
      AppMarket / GameLoop (синий круг на иконке)
      - аппмаркет появился и на панели внизу но при нажатии на нем ПКМ - его всплывающее окно зависает в виде черного прямоугльника
       
      UPD2.
       
      Какой-то процесс *китайские символы*32 бита
    • ZeroFoX1
      От ZeroFoX1
      Заметил повышение температуры на процессоре, открыл диспетчер задач и заметил процесс label.exe. Снял задачу и резко упала температура с нагрузкой.
      Подозреваю что это майнер. Антивирус не видит. Подскажите, как такое удалять?
    • evgeniyy
      От evgeniyy
      Здравствуйте, поймал где-то крайне неприятную штуку Trojan.Multi.GenAutorunTask.c
      Найти его смог через virus removal tool, после попыток лечить вирус, он все равно появляется. При поиске вируса в безопасном режиме, выскакивал уже Trojan.Multi.GenAutorunTask.a
      Отражается их влияние на работе интернета. Он постоянно обрывается или крайне сильно тормозит. Может некоторое время работать, а потом тупо перестать. 
       
      Так же при поиске через KVRT выскакивало HEUR:Trojan.Multi.StartPage.h на пару с вышеописанными.
       
      zip-архив с собранными логами прикладываю. Надеюсь на помощь.
       
      CollectionLog-2024.02.05-21.46.zip
    • Unoki
      От Unoki
      Ни как не получается удалить майнер с компьютера, через стороннею программу узнал точно что он есть, но она не смогла его обезвредить, помогите!
×
×
  • Создать...