Перейти к содержанию

Шифровальщик antistrees2000@keemail.me and jackdecrypt@smime.ninja (возможно BTC (Azadi) — прошу помочь.

ambience8
 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Да, скорее всего это он. 

Файл Crypter.exe лежит на Рабочем столе администратора. Вы его вручную туда поместили? Из карантина?

Лог Addition.txt у вас не получился?

 

Ссылка на комментарий
Поделиться на другие сайты
ambience8 Новичок

ambience8

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Файл Crypter.exe лежит на Рабочем столе администратора. Вы его вручную туда поместили? Из карантина?

Нет, он там был. Как я понел через этого юзера и залез негодяй.

 

2 часа назад, Sandor сказал:

Лог Addition.txt у вас не получился?

Пардон, забыл.

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2461998951-522869430-1418814720-1000\...\MountPoints2: {363b06d7-bbe6-11ed-b55d-047c164b7131} - "K:\wpi\MInst.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-20 09:48 - 000017258 _____ C:\Users\администратор\Desktop\RUN.dll
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\ProgramData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files\Common Files\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files (x86)\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\#FILE ENCRYPTED.txt
2023-03-19 21:50 - 2023-03-28 01:27 - 000174080 _____ C:\Users\администратор\Desktop\Crypter.exe
AlternateDataStreams: C:\ProgramData\TEMP:728B799F [133]
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{6C744866-7C80-4349-BDC5-DFAA0EB331D1}] => (Allow) LPort=32683
FirewallRules: [{55667330-38C9-4316-B56F-0313F0BD1E33}] => (Allow) LPort=26822
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Второй раз запускать скрипт не нужно было.

Увы, это всё, чем мы можем помочь.

 

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • plak
      шифровальщик, возможно Proton/shinra
      Автор plak
      один из компьютеров в сети подцепил шифровальщик. зашифрована масса файлов как на самом пк, так и на папках с общим доступом на другом пк (все имеют формат .1cxz). ос не запустилась при включении. восстановил загрузчик, ос работает, нашел сам .exe (название содержит текст из вымогателя), по почте из файла вымогателя нашел упоминание на гитхабе в файле shinra. nomoreransom и id-ransomware ничего не находят. ос на зараженном пк пока не трогаю, но он может понадобиться, поэтому пока есть время, могу попробовать что-то поискать на нем, если укажете где искать. прикладываю
      1. результаты Farbar Recovery Scan Tool
      2. зашифрованные файлы
      3. шифровальщик
      4. текст вымогателя
      пароль на все файлы virus
      shifr.rar
    • Orbeatt
      Прошу помочь расшифровать. Есть Исходник и расшифрованный вариант от злоумышленника.
      Автор Orbeatt
      В архиве 2 файла упакованные шифровальщиком и они же расшифрованные злоумышленником. Прошу помочь со средством для расшифровки остальных файлов
      files2.rar
       
    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      Автор Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
    • DIM_ZIM
      biobiorans шифровальщик- возможна ли раскодировка файлов
      Автор DIM_ZIM
      Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]
       кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?
       
      111.rar
    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      Автор Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
×
×
  • Создать...