criptomangizmo Поймал вирус

26 января, 2023

Добрый день. Зашифровали файлы с расширением QllsD3Soa, можете помочь?

26 января, 2023

CollectionLog-2023.01.26-13.20.zip report1.log report2.log

26 января, 2023

Здравствуйте!

Переместил вашу тему в подходящий раздел, в котором немного другие правила - Порядок оформления запроса о помощи

Выполните их тоже, пожалуйста.

Новую тему создавать не нужно, продолжайте здесь.

26 января, 2023

500лист1-Model.pdf.zip Addition.txt FRST.txt QlIsD3SoA.README.zip

26 января, 2023

Пробуем определить тип вымогателя, некоторое время подождите.

Компьютер, на котором собирались логи, похоже не является источником заражения. Следов вымогателя не видно.

Но разрешения на порты

Цитата

FirewallRules: [{87B09971-FC1A-4DB1-8C24-AC9EBE8F5746}] => (Allow) LPort=475
FirewallRules: [{7305979C-9803-4AC1-BA69-43CB609B3677}] => (Allow) LPort=475

закройте.

26 января, 2023

Это компьютер который заражен

26 января, 2023

Заражение давно произошло?

Переделайте, пожалуйста, логи FRST.txt и Addition.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".

26 января, 2023

произошло сегодня в 2-3ч ночи

до этого лог вроде снимал за последние 60 дней, если не ошибаюсь

27 января, 2023

Пожалуйста, поищите ещё несколько зашифрованных документов популярных форматов. Возможно найдёте их незашифрованные оригиналы, их тоже прикрепите.

27 января, 2023

Переделал

Addition.txt FRST.txt

27 января, 2023

Архив

Цитата

C:\Users\Администратор\dirc.7z

вам известен?

27 января, 2023

Да.
Нашел комп который был атакован. Сниму с него RST.txt и Addition.txt, и выложу

Это с компа который был атакован.
Пришло письмо с вложением от ФСПП с вирусом. На оф.сайте ФСПП есть уведомление о том, что от их имени отправляют письма с вирусами. Но, это я уже нашел после

Addition.txt FRST.txt

27 января, 2023

Это CriptomanGizmo Ransomware. Расшифровки нет, к сожалению.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и не поддерживаемое ПО:

Цитата

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\...\MountPoints2: {410c435f-624d-11ec-b996-f832e49f7c6c} - F:\HiSuiteDownLoader.exe
Task: {285951FC-288E-4D91-9763-DE5367B47783} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2020-12-09] (Adobe Inc. -> Adobe)
Task: {C263027E-7A2D-4F41-AA9D-031160734CBC} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_Plugin.exe [1504312 2020-12-09] (Adobe Inc. -> Adobe)
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\dkekdlkmdpipihonapoleopfekmapadh
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
CHR HKU\S-1-5-21-911709941-1031200930-1611764957-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKLM-x32\...\Chrome\Extension: [djlkjhaeaofhlchjkhhohmgadibkoaad]
C:\Users\User\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
2023-01-26 02:59 - 2023-01-26 02:59 - 004147254 _____ C:\ProgramData\QlIsD3SoA.bmp
2023-01-25 20:35 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Local\QlIsD3SoA.README.txt
2023-01-25 20:34 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\LocalLow\QlIsD3SoA.README.txt
2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\Roaming\QlIsD3SoA.README.txt
2023-01-25 20:33 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\AppData\QlIsD3SoA.README.txt
2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Documents\QlIsD3SoA.README.txt
2023-01-25 20:28 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Desktop\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\LocalLow\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Local\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\QlIsD3SoA.README.txt
2023-01-25 20:27 - 2023-01-25 20:26 - 000001251 _____ C:\Users\User\Downloads\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Downloads\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Documents\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\Desktop\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\Roaming\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\Администратор\AppData\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\Users\QlIsD3SoA.README.txt
2023-01-25 20:26 - 2023-01-25 20:26 - 000001251 _____ C:\QlIsD3SoA.README.txt
HKU\S-1-5-21-911709941-1031200930-1611764957-1000\Control Panel\Desktop\\Wallpaper -> C:\ProgramData\QlIsD3SoA.bmp
FirewallRules: [{9C9E56BD-9A29-4786-82D5-D03FD53A7B83}] => (Allow) Z:\\tools\aria2c.exe => Нет файла
FirewallRules: [{1B87E31C-51B8-4B6F-8BC8-A22640A610CA}] => (Allow) LPort=1433
FirewallRules: [{223547E0-6174-40E4-9228-CD7C1910FE88}] => (Allow) LPort=1434
FirewallRules: [{A973A086-F351-4FF9-AF1A-A31D301A4991}] => (Allow) LPort=9422
FirewallRules: [{0B951C74-F184-4F5C-AE3D-C4F64B952AF7}] => (Allow) LPort=9245
FirewallRules: [{60AE8E82-9583-4AB5-B029-66E197122520}] => (Allow) LPort=9246
FirewallRules: [{4BAC5453-A052-4527-BB7C-B11B8715BAFB}] => (Allow) LPort=9247
FirewallRules: [{83FC79F5-E6A6-4657-955C-2E4C0DB2C9FB}] => (Allow) LPort=3702
FirewallRules: [{423F53E3-27CB-4D7B-BB94-071A1336495F}] => (Allow) LPort=9244
FirewallRules: [{9788A1F8-B5A9-4932-A1DF-DE3D5DC13F37}] => (Allow) LPort=9444
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Войти

criptomangizmo Поймал вирус

Рекомендуемые сообщения

baha 1

Ссылка на сообщение

Поделиться на другие сайты

baha 1

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

baha 1

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

baha 1

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

baha 1

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

baha 1

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

baha 1

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

Присоединяйтесь к обсуждению

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum

Sandor 1 253

Sandor 1 253

Sandor 1 253

Sandor 1 253

Sandor 1 253

Sandor 1 253