Перейти к содержанию

Шифровальщик Cyber@Asia.Com

Realinbox
 Share Подписчики 2

Рекомендуемые сообщения

Realinbox

Realinbox 0

Опубликовано
Опубликовано (изменено)

Здравствуйте! Схватили шифровальщика. Надеюсь на помощь. Также имеется сам шифровальщик.

Addition.txt FRST.txt Для анализа.rar

Изменено пользователем Realinbox
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Дополню, в системе есть следы и вымогатель не удалён полностью. Чистим или будет переустановка?

 

 

Ссылка на сообщение
Поделиться на другие сайты
Realinbox

Realinbox 0

Опубликовано
  • Автор
Опубликовано
34 минуты назад, Sandor сказал:

Дополню, в системе есть следы и вымогатель не удалён полностью. Чистим или будет переустановка?

 

 

что нужно для чистки?

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
Startup: C:\Users\Evgeniya\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read-Me-Now.txt [2019-08-11] () [Файл не подписан]
Startup: C:\Users\Filipp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read-Me-Now.txt [2019-08-11] () [Файл не подписан]
Startup: C:\Users\Nikolay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read-Me-Now.txt [2019-08-11] () [Файл не подписан]
Startup: C:\Users\RDV GRAPHICS SERVICE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read-Me-Now.txt [2019-08-11] () [Файл не подписан]
Startup: C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read-Me-Now.txt [2020-08-05] () [Файл не подписан]
Startup: C:\Users\Yana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Read-Me-Now.txt [2019-08-11] () [Файл не подписан]
Startup: C:\Users\Yana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\schost - Ярлык.lnk [2019-01-07]
ShortcutAndArgument: schost - Ярлык.lnk -> C:\Intel\Logs\regasm-x64-reshack-thm\schost.vbs => 
2023-03-08 15:24 - 2023-03-08 15:24 - 000006816 _____ C:\Program Files\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\A.minasov\Downloads\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\A.minasov\Documents\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\A.minasov\Desktop\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\A.minasov\AppData\Local\Temp\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5\Downloads\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5\Documents\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5\Desktop\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5\AppData\Roaming\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5\AppData\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5\AppData\LocalLow\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5\AppData\Local\Temp\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5 Classic\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5 Classic\Downloads\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5 Classic\Documents\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5 Classic\Desktop\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5 Classic\AppData\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\Read me!.hta
2023-03-08 15:15 - 2023-03-08 15:15 - 000006816 _____ C:\Users\.NET v4.5 Classic\AppData\Local\Temp\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\Anton\Documents\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\Anton\Desktop\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\Anton\AppData\Local\Temp\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\Alex\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\Alex\Downloads\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\Alex\Documents\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\Alex\Desktop\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\Alex\AppData\Local\Temp\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\AG\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\AG\Downloads\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\AG\Documents\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\AG\Desktop\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\AG\AppData\Local\Temp\Read me!.hta
2023-03-08 15:14 - 2023-03-08 15:14 - 000006816 _____ C:\Users\A.minasov\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\glb\AppData\Local\Temp\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\Elena\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\Elena\Downloads\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\Elena\Documents\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\Elena\Desktop\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\Elena\AppData\Local\Temp\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\EFr\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\EFr\Downloads\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\EFr\Documents\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\EFr\Desktop\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\EFr\AppData\Local\Temp\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\Anton\Read me!.hta
2023-03-08 15:12 - 2023-03-08 15:12 - 000006816 _____ C:\Users\Anton\Downloads\Read me!.hta
2023-03-08 15:11 - 2023-03-08 15:11 - 000006816 _____ C:\Users\Gleb\AppData\Local\Temp\Read me!.hta
2023-03-08 15:11 - 2023-03-08 15:11 - 000006816 _____ C:\Users\glb\Read me!.hta
2023-03-08 15:11 - 2023-03-08 15:11 - 000006816 _____ C:\Users\glb\Downloads\Read me!.hta
2023-03-08 15:11 - 2023-03-08 15:11 - 000006816 _____ C:\Users\glb\Documents\Read me!.hta
2023-03-08 15:11 - 2023-03-08 15:11 - 000006816 _____ C:\Users\glb\Desktop\Read me!.hta
2023-03-08 15:09 - 2023-03-08 15:09 - 000006816 _____ C:\Users\artur\Read me!.hta
2023-03-08 15:09 - 2023-03-08 15:09 - 000006816 _____ C:\Users\artur\Downloads\Read me!.hta
2023-03-08 15:09 - 2023-03-08 15:09 - 000006816 _____ C:\Users\artur\Documents\Read me!.hta
2023-03-08 15:09 - 2023-03-08 15:09 - 000006816 _____ C:\Users\artur\Desktop\Read me!.hta
2023-03-08 15:09 - 2023-03-08 15:09 - 000006816 _____ C:\Users\artur\AppData\Local\Temp\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Ivan\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Ivan\Downloads\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Ivan\Documents\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Ivan\Desktop\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Ivan\AppData\Local\Temp\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Irina\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Irina\Downloads\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Irina\Documents\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Irina\Desktop\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Irina\AppData\Local\Temp\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Gleb\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Gleb\Downloads\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Gleb\Documents\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Gleb\Desktop\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Filipp\Downloads\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Filipp\Desktop\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Filipp\AppData\Roaming\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Filipp\AppData\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Filipp\AppData\LocalLow\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Filipp\AppData\Local\Temp\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Evgeniya\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Evgeniya\Downloads\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Evgeniya\Documents\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Evgeniya\Desktop\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Evgeniya\AppData\Roaming\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Evgeniya\AppData\LocalLow\Read me!.hta
2023-03-08 15:08 - 2023-03-08 15:08 - 000006816 _____ C:\Users\Evgeniya\AppData\Local\Temp\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLSERVER\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLSERVER\Downloads\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLSERVER\Documents\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLSERVER\Desktop\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLSERVER\AppData\Roaming\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLSERVER\AppData\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLSERVER\AppData\LocalLow\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLSERVER\AppData\Local\Temp\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQLFDLauncher$SQLEXPRESS\Read me!.hta
2023-03-08 15:05 - 2023-03-08 15:05 - 000006816 _____ C:\Users\MSSQL$SQLEXPRESS\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Public\Downloads\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Public\Documents\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Public\Desktop\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Nikolay\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Nikolay\Downloads\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Nikolay\Documents\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Nikolay\Desktop\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Nikolay\AppData\Roaming\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Nikolay\AppData\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Nikolay\AppData\LocalLow\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Nikolay\AppData\Local\Temp\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Natalia\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Natalia\Downloads\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Natalia\Documents\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Natalia\Desktop\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Natalia\AppData\Local\Temp\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Kirilllanda\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Kirilllanda\Documents\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Kirilllanda\Desktop\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Kirilllanda\AppData\Roaming\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Kirilllanda\AppData\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Kirilllanda\AppData\LocalLow\Read me!.hta
2023-03-08 15:04 - 2023-03-08 15:04 - 000006816 _____ C:\Users\Kirilllanda\AppData\Local\Temp\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\u.natalia\Documents\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\u.natalia\Desktop\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\u.natalia\AppData\Local\Temp\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\testuser\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\testuser\Downloads\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\testuser\Documents\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\testuser\Desktop\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\testuser\AppData\Local\Temp\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\srvback\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\SQLSERVERAGENT\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\SQLSERVERAGENT\Downloads\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\SQLSERVERAGENT\Documents\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\SQLSERVERAGENT\Desktop\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\SQLSERVERAGENT\AppData\Roaming\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\SQLSERVERAGENT\AppData\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\SQLSERVERAGENT\AppData\LocalLow\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\SQLSERVERAGENT\AppData\Local\Temp\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\Sergey\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\Sergey\Downloads\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\Sergey\Documents\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\Sergey\AppData\Roaming\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\Sergey\AppData\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\Sergey\AppData\LocalLow\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\Sergey\AppData\Local\Temp\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\RDV GRAPHICS SERVICE\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\RDV GRAPHICS SERVICE\Downloads\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\RDV GRAPHICS SERVICE\Documents\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\RDV GRAPHICS SERVICE\Desktop\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\RDV GRAPHICS SERVICE\AppData\Roaming\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\RDV GRAPHICS SERVICE\AppData\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\RDV GRAPHICS SERVICE\AppData\LocalLow\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\RDV GRAPHICS SERVICE\AppData\Local\Temp\Read me!.hta
2023-03-08 15:03 - 2023-03-08 15:03 - 000006816 _____ C:\Users\Public\Read me!.hta
2023-03-08 15:02 - 2023-03-08 15:02 - 000006816 _____ C:\Users\usrvit\AppData\Local\Temp\Read me!.hta
2023-03-08 15:02 - 2023-03-08 15:02 - 000006816 _____ C:\Users\UsrSerg\Read me!.hta
2023-03-08 15:02 - 2023-03-08 15:02 - 000006816 _____ C:\Users\UsrSerg\Downloads\Read me!.hta
2023-03-08 15:02 - 2023-03-08 15:02 - 000006816 _____ C:\Users\UsrSerg\Documents\Read me!.hta
2023-03-08 15:02 - 2023-03-08 15:02 - 000006816 _____ C:\Users\UsrSerg\Desktop\Read me!.hta
2023-03-08 15:02 - 2023-03-08 15:02 - 000006816 _____ C:\Users\UsrSerg\AppData\Local\Temp\Read me!.hta
2023-03-08 15:02 - 2023-03-08 15:02 - 000006816 _____ C:\Users\u.natalia\Read me!.hta
2023-03-08 15:02 - 2023-03-08 15:02 - 000006816 _____ C:\Users\u.natalia\Downloads\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\Yana\Downloads\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\Yana\Desktop\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\Yana\AppData\Roaming\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\Yana\AppData\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\Yana\AppData\LocalLow\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\Yana\AppData\Local\Temp\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\usrvit\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\usrvit\Downloads\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\usrvit\Documents\Read me!.hta
2023-03-08 15:00 - 2023-03-08 15:00 - 000006816 _____ C:\Users\usrvit\Desktop\Read me!.hta
2023-03-08 14:59 - 2023-03-08 14:59 - 000006816 _____ C:\Users\Администратор\AppData\Roaming\Read me!.hta
2023-03-08 14:59 - 2023-03-08 14:59 - 000006816 _____ C:\Users\Администратор\AppData\Read me!.hta
2023-03-08 14:59 - 2023-03-08 14:59 - 000006816 _____ C:\Users\Администратор\AppData\LocalLow\Read me!.hta
2023-03-08 14:59 - 2023-03-08 14:59 - 000006816 _____ C:\Users\Администратор\AppData\Local\Temp\Read me!.hta
2023-03-08 14:59 - 2023-03-08 14:59 - 000006816 _____ C:\Users\Yana\Read me!.hta
2023-03-08 14:58 - 2023-03-08 15:04 - 000000960 _____ C:\Users\Kirilllanda\AppData\Local\Temp\KMSSettmp201.tmp.[Cyber@Asia.Com]
2023-03-08 14:58 - 2023-03-08 14:58 - 000006816 _____ C:\Users\Администратор\Read me!.hta
2023-03-08 14:58 - 2023-03-08 14:58 - 000006816 _____ C:\Users\Администратор\Downloads\Read me!.hta
2023-03-08 14:58 - 2023-03-08 14:58 - 000006816 _____ C:\Users\Администратор\Documents\Read me!.hta
2023-03-08 14:58 - 2023-03-08 14:58 - 000006816 _____ C:\Users\Администратор\Desktop\Read me!.hta
2023-03-08 14:58 - 2023-03-08 14:58 - 000006816 _____ C:\Read me!.hta
2023-03-08 14:58 - 2023-03-08 14:58 - 000006816 _____ C:\ProgramData\Read me!.hta
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5\Downloads\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5\Documents\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5\Desktop\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5\AppData\Roaming\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5\AppData\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5\AppData\LocalLow\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5\AppData\Local\Temp\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5 Classic\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5 Classic\Downloads\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5 Classic\Documents\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5 Classic\Desktop\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5 Classic\AppData\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:15 - 2019-08-11 19:57 - 000001392 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:00 - 2019-08-11 19:57 - 000001392 _____ C:\Users\Yana\AppData\Roaming\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:00 - 2019-08-11 19:57 - 000001392 _____ C:\Users\Yana\AppData\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:00 - 2019-08-11 19:57 - 000001392 _____ C:\Users\Yana\AppData\LocalLow\Read-Me-Now.txt.[Cyber@Asia.Com]
2023-03-08 15:00 - 2019-08-11 19:57 - 000001392 _____ C:\Users\Yana\AppData\Local\Temp\Read-Me-Now.txt.[Cyber@Asia.Com]
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Пароли на учётки администраторов смените, могли быть взломаны.

Если надумаете сохранить повреждённые файлы в надежде на появление расшифровки, сохраните также папку C:\FRST

Хотя это появление может появиться не скоро, или вообще не появиться.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 283

Опубликовано
Опубликовано

Виноват, допустил ошибку.

Пожалуйста, файл

Цитата

C:\Intel\Logs\regasm-x64-reshack-thm\schost.vbs

вручную упакуйте с паролем (на предмет ожидания расшифровки). Если не планируете, просто удалите его.

Ссылка на сообщение
Поделиться на другие сайты
Realinbox

Realinbox 0

Опубликовано
  • Автор
Опубликовано
18 минут назад, Sandor сказал:

Виноват, допустил ошибку.

Пожалуйста, файл

вручную упакуйте с паролем (на предмет ожидания расшифровки). Если не планируете, просто удалите его.

Понял, спасибо. Буду надеяться на появление дешифратора.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • AndrewDanilov
      GlobeImposter 2.0 cyber761@tuta.io and cyber@asia.com and cyber761@proton.me
      От AndrewDanilov
      Всем доброго дня.
      Столкнулись с проблемой зашифровки данных. 
      Вероятно проникли через RDP порт.
      По данным портала https://id-ransomware.malwarehunterteam.com/identify.php?case=e67359c2d3a82a25ca820bb8d43542fc05fdd5e8 это GlobeImposter 2.0
      Погуглив по форуму пишут что шансов мало ...
      Прикладываю:
      1) пример 3х файлов: docx & PDF & файл hta (Архив  Files - пароль virus)
      2) отчет сканирования по инструкции
      3) снимок экрана о вымогательстве
       

      Files.rar FRST.txt
    • astrakhov
      Зашифрованы все файлы, расширение .notyourday почта keygetter@email.cz
      От astrakhov
      Montly_backups_-_192.168.60.40.zip Addition.txt FRST.txt
    • Twist123
      Все файлы имеют непарламетское расширение
      От Twist123
      На сервере все файлы имеют расширение pizdec. Файл вируса найти не удалось. Логи, а также примеры зашифрованных текстовых файлов прилагаю.
      Также обнаружили странный тектовый файл, который точно имеет отношение к вирусу. Его также прилагаю.
      Заранее спасибо за помощь.
      Encrypted files, strange file, message.zip server logs.zip
    • lex2023
      Шифровальщик Cyber@Asia.Com/cyber761@tuta.io
      От lex2023
      Схватили эту гадость. Реально чем-то расшифровать? пробовал https://github.com/cycraft-corp/Prometheus-Decryptor не помогает =( во вложении пример зашифрованного и оригинального файла и readme от вымогателей
      Пример.zip
    • feden86
      Вирус шифровальщик GlobeImposter 2.0(SATANA) зашифровал файлы на компьютере бухгалтера
      От feden86
      Здравствуйте.
      Вирус шифровальщик GlobeImposter 2.0(SATANA) зашифровал файлы на компьютере бухгалтера. Помогите пожалуйста расшифровать. 
       
×
×
  • Создать...