Перейти к содержанию

[РАСШИФРОВАНО] Попался на шифровальщика

Stepan1992
 Share Подписчики 2

Рекомендуемые сообщения

Stepan1992

Stepan1992 0

Опубликовано
Опубликовано (изменено)

Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.

Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены

FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar

Изменено пользователем Stepan1992
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Инструкция по расшифровке отправлена вам личным сообщением.

Почистим некоторый мусор в системе.


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player ActiveX & Plugin 64-bit

Bonjour

HitmanPro 3.8

Кнопка "Яндекс" на панели задач

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
IFEO\FF_.exe: [Debugger] 0
IFEO\KMmpeg.exe: [Debugger] 0
IFEO\KMPlayer.exe: [Debugger] 0
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {807FD3D6-6770-43C4-BE4A-6145FDD9BD11} - \Обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
Task: {D0B31B8B-175D-47C3-8B8C-815296BA4E78} - \FreedomeTrialReset -> Нет файла <==== ВНИМАНИЕ
Task: {65816FB6-597E-4930-9284-950BE9F4B9C8} - System32\Tasks\7856757 => C:\ProgramData\dir\V-K_D-J.exe  /H (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Stepan\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\Stepan\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Stepan\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
CHR HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Stepan\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Stepan\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
AV: Avast Antivirus (Enabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF}
FW: Avast Antivirus (Enabled) {D322394B-73F7-C65E-BBB0-3B81E063D6D4}
Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{4a84adfe-1df8-4a55-9f5a-8c4d7d5d17a5}) (Version: 1.0.0.0 - TotalAdblock) Hidden
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [1016]
HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\Software\Classes\exefile:  <==== ВНИМАНИЕ
FirewallRules: [{52458DF4-AAC8-45DB-88CB-F34B6EB8D448}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{D7DD96C7-268A-4EBC-9FBE-1D102B5E7D41}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{23A986AB-4983-431A-8376-8E68C3E61543}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{1F6130B8-C47E-4246-A3A6-FB3B71661A23}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{97863225-0F51-43FE-8F9D-A7476CA3BFEC}] => (Allow) LPort=31300
FirewallRules: [{58AD9F9C-2930-4114-B43B-D8303C2596C3}] => (Allow) LPort=31104
FirewallRules: [{D89D4269-3117-475E-9719-F341D2E09052}] => (Allow) LPort=31105
FirewallRules: [{F2CA0EC7-029C-487B-AD84-413E6FE6E63E}] => (Allow) LPort=31106
FirewallRules: [{05A5D0AF-90CC-442A-A5CD-1F6C787A9487}] => (Allow) LPort=31107
FirewallRules: [{2FD2EFC7-0ED8-44F7-89D7-6A6929758480}] => (Allow) LPort=31108
FirewallRules: [{B0594578-45EA-4BD3-B52C-538999A3AC66}] => (Allow) LPort=31109
FirewallRules: [{3DBB99F4-58A0-4561-AF0E-708C1E178012}] => (Allow) LPort=31110
FirewallRules: [{32E59D48-3094-474D-AFF5-73D25D8B369F}] => (Allow) LPort=31111
FirewallRules: [{DDF33695-B7F6-4DE1-A9ED-24A0929DCDD1}] => (Allow) LPort=31112
FirewallRules: [{8D141381-0A99-4050-94A5-EE5892FFCFDC}] => (Allow) LPort=31113
FirewallRules: [{627AE4DC-BC8B-453E-A871-06F63B32ADF6}] => (Allow) LPort=80
StartBatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
EndBatch:
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Total Adblock - Free AdBlocker 1.0.0.0




Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller
 
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Дважды выполнять скрипт не нужно было, результат перезаписался. Но не страшно.

 

В завершение и на будущее:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО] Попался на шифровальщика
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Мы привели вашу систему в порядок.

 

Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен Контроль учётных записей
 

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
calibre 64bit v.6.16.0 Внимание! Скачать обновления
Python 3.10.5 (64-bit) v.3.10.5150.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.5.0.3 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.21668 Внимание! Скачать обновления
WhatsApp v.2.2226.6 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.7-I602 amd64 v.2.5.036 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.17 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
CleanMyPC 1.12.2.2178 v.1.12.2.2178 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
SpyHunter 5 v.5.10.9.232 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
The KMPlayer RePack by CUTA v.4.2.2.72 - (build 4) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
3D SexVilla 2 & Hustler3D - Repack by Archangel (25/01/2012) v.1.0.1.4 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Batistuta
      непонятные действия в системе
      От Batistuta
      Здравствуйте.помогите пожалуйста понять,всё ли процессы в системе безопасные и нет ли среди них вирусных.в вк кто то добавляет непонятных людей в друзья и им прилашения не отправлял.захотел посмотреть в системе какие программы запускались поиск ничего не показывает.я в этом всём не разбираюсь совершенно.помогите пожалуйста понять всё ли нормально с файлами в системе и как понять если кто то следит за онлайн действиями?(возможно у меня параноя) ну в любом случае в вк кто то добавил людей без моего ведома.ещё я зашёл в журнал событий во владку безопасность,хотел понять есть там кроме моей учётной записи какие то другие,там много разных:какие то обозначены моей,а какие то системными-не поможете разобраться всё ли там нормально?
    • Наймушин
      Кто-то заходит в Гугл хром и создаёт новое окно с Яндекс поиском.
      От Наймушин
      Здравствуйте!
      Последний месяц, с постоянной периодичностью кто-то создаёт новую закладку в Гугл хром с Яндекс поисковиком. Запросы в поисковике приличные, но НЕ мои! То кредит под залог квартиры, то страховка в тур за границу - я таких запросов не делал и информацию не искал. Что мне делать? Достала эта самодеятельность!!! Как такое может быть???
       
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правил раздела! Евгений Касперский не оказывает техническую поддержку и не помогает вылечиться от вирусов.
    • decoy4ik
      Вирусом зашифрованы важные файлы.
      От decoy4ik
      Добрый день, поймали вирус-шифровальщик, есть ли возможность расшифровки? Логи и архив с файлами прикреплен. Файл с требованием к сожалению был сразу удален.Addition.txtFRST.txt
      Desktop.rar
    • Vyacheslv B.
      Шифратор Zeppelin
      От Vyacheslv B.
      Здравствуйте. Пострадал от действий вируса-шифровальщика. Возможно ли восстановить файлы?
       
       
       
      encrypt.zipFRST.zip
    • duduka
      Произошла шифровка файлов cock.li
      От duduka
      вечером, как оказывается взломали рдп (подобрали пароль) в 20:40
      утром естественно появились текстовые документы с текстом:
       

      и  файлы стали в таком виде.
      файл_нейм.id-B297FBFD.[cheese47@cock.li].ROGER
       
      так же был обнаружен файл payload.exe
       
      есть возможность расшифровать?

      report1.log report2.log
×
×
  • Создать...