phobos Шифровальщик расширение .id[4818938E-3372].[azidadabass@proton.me].Elbie

[newlogi 1]

Доброго дня в продолжении предыдущей темы прошу помощи в расшифровке и лечении.

 

Зашифрованы файлы документов, графические, ярлыки.

Соответственно не запускаются некоторые программы, в т.ч. Проводник (по исконке "папка"), браузеры, антивирус, почтовый клиент.

Ярлык "Компьютер" пока работает. Панель управления открывается.

 

Лог  Farbar Recovery Scan Tool собрать не могу. После установки флешки в USB файл на флешке мгновенно шифруется в FRST.exe.id[4818938E-3372].[azidadabass@proton.me].Elbie

Сориентируйте пожалуйста по альтернативному сбору логов.

Спасибо.

[Sandor 1 253]

Здравствуйте!

 

Пробуйте собрать отчёт таким способом:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Скопируйте FRST на флэш-накопитель:
Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в компьютер.
Выберите Командная строка
В командной строке введите следующее:

notepad и нажмите клавишу Enter.
Откроется Блокнот. В меню Файл выберите Открыть.
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду e:\frst64.exe и нажмите клавишу Enter
Примечание: Замените букву e на букву вашего флэш-накопителя.

• После того, как программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
• Нажмите кнопку Сканировать (Scan).
• После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его к следующему сообщению.

Подробнее читайте в этом руководстве.

[newlogi 1]

Цитата

• После того, как программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
• Нажмите кнопку Сканировать (Scan).
• После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его к следующему сообщению.

Получилось. Лог во вложении.

FRST.txt

[Sandor 1 253]

Тут пока не видно вымогателя. Попробуем так собрать лог uVS.

 

[newlogi 1]

Прошу прощения за молчание. Пока не было возможности продолжить лечение ПК. В ближайшее время попробую.

Спасибо за понимание.

 

Добрый вечер!

 

Лог сделать удалось, прилагаю.

1-ПК_2002-01-01_00-46-33_v4.12.7z

[newlogi 1]

Доброго дня!

Удалось что-то обнаружить в логах?

[Sandor 1 253]

1. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
2. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.12 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv0.0
   v400c
   OFFSGNSAVE
   ;---------command-block---------
   zoo %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
   delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
   deldir %SystemDrive%\PROGRAM FILES\RDP WRAPPER
   apply
   
   

    

3. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
4. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
5. Перезагрузите компьютер.

Подробнее читайте в этом руководстве.

 

Активного вредоноса не видно. Пробуйте собрать логи в нормальном режиме.

[newlogi 1]

Добрый день!

Извините задержку.

Собрал логи. по инструкции добавил в архив с паролем virus

RDPWRAP.DLL.rar

[Sandor 1 253]

16 минут назад, newlogi сказал:

Собрал логи

И где они? В архиве только карантин.