Перейти к содержанию

Шифровальщик antistrees2000@keemail.me and jackdecrypt@smime.ninja (возможно BTC (Azadi) — прошу помочь.

ambience8
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Да, скорее всего это он. 

Файл Crypter.exe лежит на Рабочем столе администратора. Вы его вручную туда поместили? Из карантина?

Лог Addition.txt у вас не получился?

 

ambience8

ambience8

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Файл Crypter.exe лежит на Рабочем столе администратора. Вы его вручную туда поместили? Из карантина?

Нет, он там был. Как я понел через этого юзера и залез негодяй.

 

2 часа назад, Sandor сказал:

Лог Addition.txt у вас не получился?

Пардон, забыл.

Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2461998951-522869430-1418814720-1000\...\MountPoints2: {363b06d7-bbe6-11ed-b55d-047c164b7131} - "K:\wpi\MInst.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-20 09:48 - 000017258 _____ C:\Users\администратор\Desktop\RUN.dll
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\ProgramData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files\Common Files\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files (x86)\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\#FILE ENCRYPTED.txt
2023-03-19 21:50 - 2023-03-28 01:27 - 000174080 _____ C:\Users\администратор\Desktop\Crypter.exe
AlternateDataStreams: C:\ProgramData\TEMP:728B799F [133]
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{6C744866-7C80-4349-BDC5-DFAA0EB331D1}] => (Allow) LPort=32683
FirewallRules: [{55667330-38C9-4316-B56F-0313F0BD1E33}] => (Allow) LPort=26822
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Daniil Kovalev
      Помощь в расшифровке biobiorans
      Автор Daniil Kovalev
      Добрый день словили шифровальщик biobiorans
      Можете помочь расшифровкой файлов?
      Тело шифровальщика найти не удалось
      Вкладываю примеры с зашифрованными файликами - это логи MS SQL сервера  *.ldf

      Текст вымогателя:
      BioBio Ransmoware ATTENTION! At the moment, your system is not protected. We can fix itand restore files. To get started, send a file to decrypt trial. You can trust us after opening the test file. 2.Do not use free programs to unlock. To restore the system write to both : biobiorans@gmail.com        and      biobiorans@keemail.me Telegram id:@biobiorans Your Decryption ID: ******
      FRST.txt
      Crypted2.7z Crypted1.7z
    • DIM_ZIM
      biobiorans шифровальщик- возможна ли раскодировка файлов
      Автор DIM_ZIM
      Словили шифровальщика. Файлы на сетевой шаре  закодированы и в названия имеют такой вид  ******** .xlsx.EMAIL=[biobiorans@gmail.com]ID=[****************]
       кто то сталкивался  с такой проблемой ?  ЧТО за вирус ( его название). Может быть имеется опыт по дешифровке?
       
      111.rar
    • sergei5
      шифровальшик зашировал все данные
      Автор sergei5
      Добрый день Вирус зашифровал все данные файл с расширением  62IKGXJL  помогите восстановить. Буду вам признателен.
    • ligiray
      Зашифровали файлы на ***.kasper
      Автор ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Даниил342432
      Здравствуйте, у меня при попытки установки удаленного доступа на компьютер попал вирус, предположительно neshta и зашифровал все файлы в формат KASPER.
      Автор Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
×
×
  • Создать...