phobos словил шифровальщик .deep

[o.v.burcev]

Добрый вечер.

Шифровальщик зашифровал все файлы на компе, помогите разобраться, есть ли шанс восстановить

 

Пароль на архив с файлами вируса - virus

virus.zip файлы FRST.7z File1.7z File2.7z

[thyrex]

C:\Users\Admin\AppData\Local\sql.exe проверьте на https://virustotal.com и пришлите ссылку на результат анализа

[o.v.burcev]

https://www.virustotal.com/gui/file/f96e0edbaf410272589ed29a8917977892b21e6139e81cdc264287941cf8c109/detection

[thyrex]

Расшифровки нет.

 

Чистка мусора в системе, в т.ч. активного шифровальщика, нужна или система под переустановку?

[o.v.burcev]

под переустановку, там ничего живого не осталось

[o.v.burcev]

Коллеги, а вообще если не трудно, пришлите как почистить систему в текущем виде, надо оставить небольшой шанс, что получится хоть что то восстановить

[thyrex]

Цитата

Admin (S-1-5-21-4020617628-2862444755-50925135-1000 - Administrator - Enabled) => C:\Users\Admin
sa (S-1-5-21-4020617628-2862444755-50925135-500 - Administrator - Enabled) => C:\Users\sa

обе учетки Ваши?
 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\Run: [sql] => C:\Users\Admin\AppData\Local\sql.exe [57344 2023-10-19] () [Файл не подписан]
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {0448cf28-cd7f-11ea-b8db-bcaec5d6fa72} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {0448cf30-cd7f-11ea-b8db-bcaec5d6fa72} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {1932c27f-2471-11e9-8716-bcaec5d6fa72} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4020617628-2862444755-50925135-1000\...\MountPoints2: {4fb24a7b-14b4-11e9-9c77-bcaec5d6fa72} - E:\HiSuiteDownLoader.exe
IFEO\taskmgr.exe: [Debugger] Hotkey Disabled
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.exe [2023-10-19] () [Файл не подписан]
2023-11-11 01:21 - 2023-11-11 01:21 - 000005520 _____ C:\Users\Public\Desktop\info.hta
2023-11-11 01:21 - 2023-11-11 01:21 - 000005520 _____ C:\Users\Admin\Desktop\info.hta
2023-11-11 01:21 - 2023-11-11 01:21 - 000000164 _____ C:\Users\Public\Desktop\info.txt
2023-11-11 01:21 - 2023-11-11 01:21 - 000000164 _____ C:\Users\Admin\Desktop\info.txt
2023-11-10 23:53 - 2023-10-19 13:19 - 000057344 _____ C:\Users\Admin\AppData\Local\sql.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers-x32: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} =>  -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
ShellIconOverlayIdentifiers: [   00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll -> Нет файла
FirewallRules: [{8CB7F7D2-A6C8-4599-A8DC-8BA67B404F73}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{1AC34BCF-1743-49C6-B903-030E726EA68E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{5BD42CDD-E662-42EB-B1BD-081860E95324}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{89FD56FC-16FF-487D-892E-5D7D3A25A37F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B20CD685-2B64-4D40-9813-B6FD7DFCF6F9}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4156904E-6F83-4B3D-93EE-4556532335E9}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{2CC74151-99B2-4051-BBB4-AFA488271530}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{ED38BA01-7B06-4519-946C-EE49CE6118DE}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{65FC92F7-FEF6-4A49-BC3C-59CBDDFB3982}] => (Allow) C:\Users\Admin\AppData\Local\Programs\Opera\88.0.4412.74\opera.exe => Нет файла
FirewallRules: [{AB1285D2-3EB6-4C50-8984-3162FBF8BE8F}] => (Allow) C:\Program Files (x86)\MEDVED-SOFT\Trans-Manager 12.0\tm_curs.exe => Нет файла
FirewallRules: [{188843F9-D44B-42B0-ABBB-35CC20AFAC09}] => (Allow) C:\Program Files (x86)\MEDVED-SOFT\Trans-Manager 12.0\tm_help_client.exe => Нет файла
FirewallRules: [{CEC52195-A964-4FF2-B6BB-28368386D8B9}] => (Allow) C:\Users\Admin\AppData\Local\Programs\Opera\95.0.4635.84\opera.exe => Нет файла
FirewallRules: [{02697C7D-CC2E-4C5A-B306-E3C965AAB201}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{F51430E1-9362-4157-9F28-C865D905F4C4}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{662F4AA3-012A-4C60-90AF-E87BA117E8A6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{5C17269B-8832-4C77-AA26-CEEFF7255D3C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[o.v.burcev]

да, обе учетки мои

 

файл приложил

Fixlog.txt