Перейти к содержанию

Шифровальщик antistrees2000@keemail.me and jackdecrypt@smime.ninja (возможно BTC (Azadi) — прошу помочь.

ambience8
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Да, скорее всего это он. 

Файл Crypter.exe лежит на Рабочем столе администратора. Вы его вручную туда поместили? Из карантина?

Лог Addition.txt у вас не получился?

 

ambience8

ambience8

Опубликовано
  • Автор
Опубликовано
2 часа назад, Sandor сказал:

Файл Crypter.exe лежит на Рабочем столе администратора. Вы его вручную туда поместили? Из карантина?

Нет, он там был. Как я понел через этого юзера и залез негодяй.

 

2 часа назад, Sandor сказал:

Лог Addition.txt у вас не получился?

Пардон, забыл.

Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2461998951-522869430-1418814720-1000\...\MountPoints2: {363b06d7-bbe6-11ed-b55d-047c164b7131} - "K:\wpi\MInst.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\администратор\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\Manager\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\leopold\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\galina\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\dsn2\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\DSN\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\1C\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\Roaming\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\LocalLow\#FILE ENCRYPTED.txt
2023-03-19 21:54 - 2023-03-19 21:54 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\Local\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-20 09:48 - 000017258 _____ C:\Users\администратор\Desktop\RUN.dll
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\администратор\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\Manager\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\leopold\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\galina\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\dsn2\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\DSN\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\1C\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Downloads\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Documents\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\Desktop\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\AppData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\.NET v4.5 Classic\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Users\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\ProgramData\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files\Common Files\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\Program Files (x86)\#FILE ENCRYPTED.txt
2023-03-19 21:53 - 2023-03-19 21:53 - 000000332 _____ C:\#FILE ENCRYPTED.txt
2023-03-19 21:50 - 2023-03-28 01:27 - 000174080 _____ C:\Users\администратор\Desktop\Crypter.exe
AlternateDataStreams: C:\ProgramData\TEMP:728B799F [133]
HKLM\...\exefile\shell\open\command: C:\Windows\svchost.com "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{6C744866-7C80-4349-BDC5-DFAA0EB331D1}] => (Allow) LPort=32683
FirewallRules: [{55667330-38C9-4316-B56F-0313F0BD1E33}] => (Allow) LPort=26822
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Alex OSKS
      Словил шифровальщик. Прошу помочь.
      Автор Alex OSKS
      Добрый день! На нескольких серверах словил шифровальщик. Прошу помочь с расшифровкой , если есть такая возможность. Спасибо.
      Addition.txt FRST.txt VIRUS.rar
    • Алексей_Кокарев
      Поймал шифровальщика E7M расширение... прошу помочь
      Автор Алексей_Кокарев
      В ночь на 2 февраля  на сервере зашифровано почти всё
      WindowsServer 2008 (64 разр)
      Скорее всего через терминальный доступ кто то прорвался...  
      Стандартная работа сервера, SQL,для 1С 7  и 1с-8
      Почтовая программа TheBat 10 версия.  На днях ставил 11 версию но молдаване "прокатили" - оплатить не возможно пришлось откатывать на старую версию. 
      Был установлен Касперский Small Office  (не помогло, но правда не помню был там или нет включен мониторинг активности..)
      Сейчас появился еще один диск (А) - написано зарезервировано системой (до заражения не было)

      И не зашифровал файлы архивы rar и zip.  Просто дописал к имени так же как и у зашифрованных, но убираешь эту приписку расширение. И архив рабочий открывается. Правда не всех.. на некоторых архив все таки повредил..
       
      E7M_отчет.rar E7M_файлы.rar
    • Arocs
      Шифровальщик adk0@keemail.me
      Автор Arocs
      Прошу помощи в расшифровке файлов. Картинки, базы данных, текстовые. 
      FILES_ENCRYPTED.txt шифрованые.zip
    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • pZjQ
      [РЕШЕНО] NET.MALWARE.URL не удаляется прошу помочь
      Автор pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
×
×
  • Создать...