Перейти к содержанию

Шифровальщик antistrees2000@keemail.me and jackdecrypt@smime.ninja (возможно BTC (Azadi) — прошу помочь.

ambience8
 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Да, скорее всего это он. 

Файл Crypter.exe лежит на Рабочем столе администратора. Вы его вручную туда поместили? Из карантина?

Лог Addition.txt у вас не получился?

 

Ссылка на комментарий
Поделиться на другие сайты
ambience8 Новичок

ambience8

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Файл Crypter.exe лежит на Рабочем столе администратора. Вы его вручную туда поместили? Из карантина?

Нет, он там был. Как я понел через этого юзера и залез негодяй.

 

2 часа назад, Sandor сказал:

Лог Addition.txt у вас не получился?

Пардон, забыл.

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2461998951-522869430-1418814720-1000\...\MountPoints2: {363b06d7-bbe6-11ed-b55d-047c164b7131} - "K:\wpi\MInst.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-20 09:48 - 000017258 _____ C:\Users\администратор\Desktop\RUN.dll
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\ProgramData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files\Common Files\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files (x86)\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\#FILE ENCRYPTED.txt
2023-03-19 21:50 - 2023-03-28 01:27 - 000174080 _____ C:\Users\администратор\Desktop\Crypter.exe
AlternateDataStreams: C:\ProgramData\TEMP:728B799F [133]
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{6C744866-7C80-4349-BDC5-DFAA0EB331D1}] => (Allow) LPort=32683
FirewallRules: [{55667330-38C9-4316-B56F-0313F0BD1E33}] => (Allow) LPort=26822
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Второй раз запускать скрипт не нужно было.

Увы, это всё, чем мы можем помочь.

 

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • lex-xel
      Добрый день, прошу помочь расшифровать файлы.
      От lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • pZjQ
      [РЕШЕНО] NET.MALWARE.URL не удаляется прошу помочь
      От pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
    • in-digp
      Прошу помочь с восстановлением запуска службы BFE
      От in-digp
      Здравствуйте!
       
      Прошу помочь с восстановлением запуска службы BFE
       
      https://support.kaspersky.ru/common/error/installation/11099#error5
       
      Данная инструкция не помогает, есть ли другие способы восстановления ?
       
       

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
×
×
  • Создать...