Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Поймал BlackBit

wowabas_1959
 Поделиться

Рекомендуемые сообщения

wowabas_1959 Новичок

wowabas_1959

Опубликовано
Опубликовано

Неожиданно сегодня прилетел BlackBit и зашифровал системный диск и диск с архивом. Требует денег.

Систему-то я могу переустановить с нуля, а вот архивы (фото, документы) жалко.

Необходимые файлы как смог приготовил. Хотя через несколько секунд они тоже шифруются.

 А вот добавить образ автозапуска системы в uVS не могу.
архив программы скачивал несколько раз и из разных мест.
При попытке риаспаковать данный архив с программой в отдельный каталог пишет поврежденный архив.

Addition.txt eb2d57b2-83b2-45ac-80aa-e28b8e2a3089.zip FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Скачивать uVS необходимо только с доверенных источников, или по ссылкам на доверенных форумах.

ПК домашний, или рабочий в локальной сети?

Система помимо файлов шифрования еще и с майнером сосуществует.

 

да, файл шифровальщика висит в памяти, и диспетчер процессов отключен.

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, без перезагрузки системы. 

Start::
SystemRestore: On
(explorer.exe ->) (Microsoft) [Файл не подписан] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe
(explorer.exe ->) (Realtek Semiconductor) [Файл не подписан] C:\ProgramData\ReaItekHD\taskhostw.exe
(svchost.exe ->) (Microsoft Corporation) [Файл не подписан] C:\ProgramData\ReaItekHD\taskhost.exe
(tox) [Файл не подписан] C:\ProgramData\Windows Tasks Service\winserv.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [26] KVRT(1).exe
StartupDir: C:\Users\wowa\AppData\Local\Temp\4fdb51ccdc\ <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-11-18] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {34058F8D-47AA-4D8A-A5C3-9D99B02BED04} - System32\Tasks\BlackBit => C:\Users\wowa\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {517EB34D-697E-4D50-819C-45DAC0FF7E5B} - System32\Tasks\Microsoft\Windows\FilesystemY\nJi5YzflKImWyKPuo2l => C:\Programdata\ReaItekHD\taskhost.exe [20750864 2023-10-01] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {EDD54A2E-07B2-466D-BA5B-DFA2BB06DA20} - System32\Tasks\Microsoft\Windows\FilesystemY\RecoveryHosts => C:\ProgramData\Microsoft\NetFramework\nJi5YzflKImWyKPuo2l\FilesystemY.bat [2812 2023-12-27] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {3EF9D2FB-BFFB-4E67-A5CD-C4F926B60CAD} - System32\Tasks\Microsoft\Windows\FilesystemY\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [27743760 2023-10-01] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {5B3B3D32-0E96-46D5-B0F8-1026362093B9} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {3CD1E641-BCFF-4685-9A13-3B172F4882DA} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\Temp:088B37DC [340]
AlternateDataStreams: C:\ProgramData\Temp:D8999815 [227]
AlternateDataStreams: C:\Users\wowa\Downloads\[support890@onionmail.org][1AC249A2]file.BlackBit: peggle.deluxe                        .lnk [2178]
FirewallRules: [{8A4C5AC9-85F0-40E5-B193-03CED70D6D04}] => (Block) LPort=445
FirewallRules: [{B8BA7DE6-A8B8-4DAE-8574-09790C5CB624}] => (Block) LPort=445
FirewallRules: [{0C3280A2-A586-4269-89EA-DEE00C7EC517}] => (Block) LPort=139
FirewallRules: [{47F96E71-299A-4088-9DEE-68B421A58FB2}] => (Block) LPort=139
FirewallRules: [{6A3C631C-0ADC-475A-A4F4-4477D73A9786}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe (tox) [Файл не подписан]
EmptyTemp:
End::

После выполнения скрипта добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

 

+

еще раз добавьте новые логи.

подготовьте, пожалуйста, следующие логи:

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
wowabas_1959 Новичок

wowabas_1959

Опубликовано
  • Автор
Опубликовано (изменено)

1.Компютер домашний, в сети провайдера.

2. На майнер подозрения были вконце ноября. Прошелся антивирусами. вроде удалил всё, что можно. Оказалось нет.

 

Вроде всё сделал.

3.Диспетчер задач включился.

 

Addition.txt Fixlog.txt FRST.txt WOWA-PC_2024-01-09_05-42-01_v4.15.7z

Изменено пользователем wowabas_1959
Добавление
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

уже лучше. активных файлов шифровальщика не осталось.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
  

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHKMFDIALKJNLJBCNINCGPOLLOBCLEBAF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref %SystemDrive%\USERS\WOWA\DESKTOP\WI FI\STARTWI-FI.BAT
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\DRIVERS\NTFS.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {10336656-40D7-4530-BCC0-86CD3D77D25F}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {3B0BD075-929C-4E52-AAD1-458C81A10B24}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {9800F18F-3D86-4744-A7D0-540989C86D7B}\[CLSID]
delref {9ED13477-E909-45BC-BADC-2106D04D6BD7}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E18FEC31-2EA1-49A2-A7A6-902DC0D1FF05}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\NPSPWRAP.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {E3956DCF-D1C7-4375-AAAA-22FF8191C479}\[CLSID]
delref {33154C99-BF49-443D-A73C-303A23ABBE97}\[CLSID]
delref {01BE4CFB-129A-452B-A209-F9D40B3B84A5}\[CLSID]
delref {5383EF74-273B-4278-AB0C-CDAA9FD5369E}\[CLSID]
delref {5985FC23-2588-4D9A-B38B-7E7AFFAB3155}\[CLSID]
delref {72B66649-3DBF-429F-BD6F-7774A9784B78}\[CLSID]
delref {35C5242B-7455-4F9C-962B-369EA43ED6F3}\[CLSID]
delref {AFE9E2F0-5BBA-4169-A33B-EE3727AC3482}\[CLSID]
delref {355822FC-86F1-4BE8-B5F0-A33736789641}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\FFDSHOW64\FFDSHOW.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\FFDSHOW\FFDSHOW.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVSPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVSPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCVR\MPCVIDEORENDERER64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCVR\MPCVIDEORENDERER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCIMAGESOURCE\MPCIMAGESOURCE64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCIMAGESOURCE\MPCIMAGESOURCE.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\BASSAUDIOSOURCE64\BASSAUDIOSOURCE64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\BASSAUDIOSOURCE\BASSAUDIOSOURCE.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MADVR\MADVR64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MADVR\MADVR.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVAUDIO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVAUDIO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVVIDEO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVVIDEO.AX
delref {83C25742-A9F7-49FB-9138-434302C88D07}\[CLSID]
delref {42089D2D-912D-4018-9087-2B87803E93FB}\[CLSID]
delref {5504BE45-A83B-4808-900A-3A5C36E7F77A}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref {02BCC737-B171-4746-94C9-0D8A0B2C0089}\[CLSID]
delref {3FD37ABB-F90A-4DE5-AA38-179629E64C2F}\[CLSID]
delref {62B4D041-4667-40B6-BB50-4BC0A5043A73}\[CLSID]
delref {9203C2CB-1DC1-482D-967E-597AFF270F0D}\[CLSID]
delref {BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\NPSPWRAP.DLL
delref {5E2121EE-0300-11D4-8D3B-444553540000}\[CLSID]
delref {435E5DF5-2510-463C-B223-BDA47006D002}\[CLSID]
delref {00DE9951-7B45-4756-98DC-C025EE3E11A1}\[CLSID]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\GAMEFLT.INF_AMD64_6E426D1EFB7A9904\GAMEFLT.SYS
delref %SystemDrive%\USERS\WOWA\DESKTOP\UNLOCKER_1.9.3_PORTABLE_C\UNLOCKER_X64_1.9.3\UNLOCKERDRIVER5.SYS
delref IRENUM\[SERVICE]
delref H:\OINSTALLLITE.EXE
delref H:\LAUNCHU3.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2023-12-28] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [27856 2023-12-28] (Lavasoft Software Canada Inc. -> ) <==== ВНИМАНИЕ
2024-01-08 12:25 - 2024-01-08 14:24 - 000000109 _____ C:\WINDOWS\SysWOW64\wvtymcow.bat
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH C:\ProgramData\yyzr11jk.exe
2024-01-08 12:25 - 2023-11-18 22:44 - 000557056 _____ (Microsoft) C:\WINDOWS\SysWOW64\winlogon.exe
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH () C:\ProgramData\0ndiueur.exe
2024-01-08 13:33 - 2024-01-08 13:33 - 000110592 ___SH () C:\ProgramData\fab0ajee.exe
2024-01-08 14:24 - 2024-01-08 14:24 - 000110592 ___SH () C:\ProgramData\qxgchh43.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH () C:\ProgramData\yyzr11jk.exe
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH C:\ProgramData\0ndiueur.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2023-12-28 13:09 - 2024-01-08 10:24 - 000000000 ___HD C:\Program Files\RDP Wrapper
2023-12-28 13:09 - 2023-12-28 13:09 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-12-28 09:00 - 2023-12-28 09:00 - 000000000 ____D C:\ProgramData\Lavasoft
2023-12-28 09:00 - 2023-12-28 09:00 - 000000000 ____D C:\Program Files (x86)\Lavasoft
2023-12-27 16:15 - 2023-12-27 16:15 - 000000000 __SHD C:\Program Files\Transmission
2023-12-27 16:14 - 2023-12-28 13:09 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Downloads\AV_block_remover
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Downloads\AutoLogger
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Desktop\AV_block_remover
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Desktop\AutoLogger
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH () C:\ProgramData\0ndiueur.exe
2024-01-08 13:33 - 2024-01-08 13:33 - 000110592 ___SH () C:\ProgramData\fab0ajee.exe
2024-01-08 14:24 - 2024-01-08 14:24 - 000110592 ___SH () C:\ProgramData\qxgchh43.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH () C:\ProgramData\yyzr11jk.exe
2022-02-20 11:27 C:\KVRT2020_Data
2022-10-19 14:19 C:\KVRT2021_Data
2022-10-19 14:19 C:\KVRT2022_Data
2022-10-19 14:19 C:\KVRT2023_Data
2022-09-29 14:58 C:\KVRT_Data
2022-10-19 14:19 C:\Program Files\360
2022-09-29 14:58 C:\Program Files\AVAST Software
2022-09-29 14:58 C:\Program Files\AVG
2022-10-19 14:19 C:\Program Files\Avira
2022-10-19 14:19 C:\Program Files\BitDefender
2022-09-29 14:58 C:\Program Files\Bitdefender Agent
2022-09-29 14:58 C:\Program Files\Cezurity
2022-10-19 14:19 C:\Program Files\CheckPoint
2022-09-29 14:58 C:\Program Files\COMODO
2022-09-29 14:58 C:\Program Files\DrWeb
2022-09-29 14:58 C:\Program Files\Enigma Software Group
2022-10-19 14:19 C:\Program Files\EnigmaSoft
2022-10-19 14:19 C:\Program Files\eScan
2022-09-29 14:58 C:\Program Files\ESET
2022-10-19 14:19 C:\Program Files\F-Secure
2022-10-19 14:19 C:\Program Files\GRIZZLY Antivirus
2022-10-19 14:19 C:\Program Files\HitmanPro
2022-10-19 14:19 C:\Program Files\Immunet
2022-10-19 14:19 C:\Program Files\IObit
2022-10-19 14:19 C:\Program Files\K7 Computing
2022-09-29 14:58 C:\Program Files\Kaspersky Lab
2022-09-29 14:58 C:\Program Files\Loaris Trojan Remover
2021-12-06 06:18 C:\Program Files\Malwarebytes
2022-10-19 14:19 C:\Program Files\McAfee
2022-10-19 14:19 C:\Program Files\McAfee Security Scan
2022-10-19 14:19 C:\Program Files\NANO Antivirus
2023-12-27 16:15 C:\Program Files\NETGATE
2022-10-19 14:19 C:\Program Files\Panda Security
2023-12-27 16:15 C:\Program Files\Process Hacker 2
2022-09-29 14:58 C:\Program Files\Process Lasso
2022-10-19 14:19 C:\Program Files\Quick Heal
2023-12-27 16:15 C:\Program Files\QuickCPU
2022-09-29 14:58 C:\Program Files\Rainmeter
2022-09-29 14:58 C:\Program Files\Ravantivirus
2023-12-27 16:15 C:\Program Files\RogueKiller
2022-10-19 14:19 C:\Program Files\SentinelOne
2022-10-19 14:19 C:\Program Files\Seqrite
2022-10-19 14:19 C:\Program Files\Sophos
2022-09-29 14:58 C:\Program Files\SpyHunter
2023-12-27 16:15 C:\Program Files\SUPERAntiSpyware
2022-10-19 14:19 C:\Program Files\Symantec
2022-10-19 14:19 C:\Program Files\Telmex
2023-12-27 16:15 C:\Program Files\Transmission
2022-10-19 14:19 C:\Program Files\Trend Micro
2022-10-19 14:19 C:\Program Files\Webroot
2022-10-19 14:19 C:\Program Files (x86)\360
2022-09-29 14:58 C:\Program Files (x86)\AVAST Software
2022-09-29 14:58 C:\Program Files (x86)\AVG
2022-10-19 14:19 C:\Program Files (x86)\Avira
2022-10-19 14:19 C:\Program Files (x86)\BitDefender
2022-10-19 14:19 C:\Program Files (x86)\Bitdefender Agent
2022-09-29 14:58 C:\Program Files (x86)\Cezurity
2022-10-19 14:19 C:\Program Files (x86)\CheckPoint
2022-10-19 14:19 C:\Program Files (x86)\COMODO
2022-10-19 14:19 C:\Program Files (x86)\DrWeb
2022-10-19 14:19 C:\Program Files (x86)\Enigma Software Group
2022-10-19 14:19 C:\Program Files (x86)\EnigmaSoft
2022-10-19 14:19 C:\Program Files (x86)\eScan
2022-10-19 14:19 C:\Program Files (x86)\ESET
2022-10-19 14:19 C:\Program Files (x86)\F-Secure
2023-12-27 16:15 C:\Program Files (x86)\GPU Temp
2022-09-29 14:58 C:\Program Files (x86)\GRIZZLY Antivirus
2022-10-19 14:19 C:\Program Files (x86)\HitmanPro
2022-10-19 14:19 C:\Program Files (x86)\Immunet
2022-11-10 13:10 C:\Program Files (x86)\IObit
2022-10-19 14:19 C:\Program Files (x86)\K7 Computing
2022-09-29 14:58 C:\Program Files (x86)\Kaspersky Lab
2022-10-19 14:19 C:\Program Files (x86)\Malwarebytes
2022-10-19 14:19 C:\Program Files (x86)\McAfee
2022-10-19 14:19 C:\Program Files (x86)\McAfee Security Scan
2022-09-29 14:58 C:\Program Files (x86)\Microsoft JDX
2023-12-27 16:15 C:\Program Files (x86)\Moo0
2022-10-19 14:19 C:\Program Files (x86)\NANO Antivirus
2022-09-29 14:59 C:\Program Files (x86)\Panda Security
2022-10-19 14:19 C:\Program Files (x86)\Quick Heal
2022-10-19 14:19 C:\Program Files (x86)\SentinelOne
2022-10-19 14:19 C:\Program Files (x86)\Seqrite
2022-10-19 14:19 C:\Program Files (x86)\Sophos
2023-12-27 16:15 C:\Program Files (x86)\SpeedFan
2022-09-29 14:58 C:\Program Files (x86)\SpyHunter
2022-10-19 14:19 C:\Program Files (x86)\Symantec
2022-10-19 14:19 C:\Program Files (x86)\Telmex
2022-09-29 14:59 C:\Program Files (x86)\Transmission
2022-10-19 14:19 C:\Program Files (x86)\Trend Micro
2022-10-19 14:19 C:\Program Files (x86)\Webroot
2022-09-29 14:58 C:\WINDOWS\speechstracing
2022-09-29 14:58 C:\Program Files\Common Files\AV
2022-09-29 14:58 C:\Program Files\Common Files\Doctor Web
2022-09-29 14:58 C:\Program Files\Common Files\McAfee
2022-09-29 14:58 C:\ProgramData\360safe
2022-09-29 14:58 C:\ProgramData\AVAST Software
2022-10-19 14:19 C:\ProgramData\AVG
2022-09-29 14:58 C:\ProgramData\Avira
2022-10-19 14:19 C:\ProgramData\Bitdefender Agent
2022-09-29 14:59 C:\ProgramData\BookManager
2022-09-29 14:58 C:\ProgramData\Doctor Web
2022-09-29 14:59 C:\ProgramData\ESET
2022-09-29 14:58 C:\ProgramData\Evernote
2022-09-29 14:59 C:\ProgramData\FingerPrint
2022-09-29 14:58 C:\ProgramData\grizzly
2022-10-19 14:19 C:\ProgramData\HitmanPro.Alert
2022-09-29 14:58 C:\ProgramData\Kaspersky Lab
2022-02-20 11:27 C:\ProgramData\Kaspersky Lab Setup Files
2022-09-29 14:58 C:\ProgramData\MB3Install
2022-09-29 14:58 C:\ProgramData\McAfee
2022-09-29 14:58 C:\ProgramData\Norton
2023-12-27 16:15 C:\ProgramData\princeton-produce
2022-09-29 14:58 C:\ProgramData\PuzzleMedia
2022-09-29 14:58 C:\ProgramData\RealtekHD
2022-09-29 14:58 C:\ProgramData\RobotDemo
2022-10-19 14:19 C:\ProgramData\Sophos
2022-10-19 14:19 C:\ProgramData\Symantec
2022-10-19 14:19 C:\ProgramData\Symantec.cloud
2022-10-19 14:19 C:\ProgramData\Telmex
2022-09-29 14:58 C:\ProgramData\WavePad
2022-12-16 14:51 C:\ProgramData\WindowsTask
2023-12-27 16:14 C:\Users\wowa\Desktop\AutoLogger
2023-12-27 16:14 C:\Users\wowa\Desktop\AV_block_remover
2023-12-27 16:14 C:\Users\wowa\Downloads\AutoLogger
2023-12-27 16:14 C:\Users\wowa\Downloads\AV_block_remover
2023-12-27 16:15 C:\Users\wowa\AppData\Roaming\Sysfiles
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

С расшифровкой файлов, к сожалению, не сможем помочь. На текущий момент по данному типу шифровальщика LokiLocker расшифровка без приватного ключа невозможна.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

@wowabas_1959, для верности проделайте ещё следующее:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt
 

Ссылка на комментарий
Поделиться на другие сайты
wowabas_1959 Новичок

wowabas_1959

Опубликовано
  • Автор
Опубликовано

Спасибо и на этом.

Позвольте несколько вопросов для дилетанта.

1.Насколько безопасен данный компьютер сейчас.

2.Можно ли к нему подключать внешние накопители (CD, DVD, USB-HDD и т.п) с точи зрения сохранности данных на них.

3.Можно ли на данном компьютере развернуть установочный образ системы на флешку (Rufus).

 

 

Систему буду переустанавливать, поэтому ещё вопрос - как поступить с локальным диском:

1.отформатировать сейчас

2. отформатировать во время установуи системы

3. отключить на время установки сстемы и позже отформатировать средствами новой системы

4 использовать стороннюю программу

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
9 минут назад, wowabas_1959 сказал:

Насколько безопасен данный компьютер сейчас

Активного заражения сейчас нет, поэтому смело можете подключать внешние носители. Как для переноса данных, так и для создания загрузочной флешки.

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • qwerty1234
      Подозреваю, что поймал майнер.
      Автор qwerty1234
      Здравствуйте! После посещения сайтов с бесплатными играми и фильмами ноутбук стал резко вибрировать и шуметь. Любой фильм или игра сопровождаются ритмичной вибрацией, которой раньше не было. Подозреваю, что поймал майнер.
      По рекомендации из одной из недавних тем скачал Security Check by glax24. Просканировал. Прикладываю результат.
      Так как сам я в этом не Копенгаген, прошу помочь расшифровать написанное и посоветовать план действий. Заранее благодарен!!!
       
      SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
      WebSite: www.safezone.cc
      DateLog: 09.05.2025 18:25:29
      Path starting: C:\Users\Емельян\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
      Log directory: C:\SecurityCheck\
      IsAdmin: True
      User: Emelian
      VersionXML: 13.80is-05.05.2025
      ___________________________________________________________________________
      Windows 11 Professional (x64) Версия: 24H2 (10.0.26100.3915) Язык: Russian(0419)
      Дата установки ОС: 25.11.2024 07:02:43
      Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
      Режим загрузки: Normal
      Браузер по умолчанию: C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
      Системный диск: 😄 ФС: [NTFS] Емкость: [475.9 Гб] Занято: [339.8 Гб] Свободно: [136.1 Гб]
      ------------------------------- [ Windows ] -------------------------------
      Контроль учётных записей пользователя включен (Уровень 3)
      Центр обеспечения безопасности (wscsvc) - Служба работает
      Удаленный реестр (RemoteRegistry) - Служба остановлена
      Обнаружение SSDP (SSDPSRV) - Служба работает
      Службы удаленных рабочих столов (TermService) - Служба остановлена
      Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
      Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
      Оптимизация доставки (DoSvc) - Служба работает
      Служба "Безопасность Windows" (SecurityHealthService) - Служба работает
      Служба оркестратора обновлений (UsoSvc) - Служба работает
      WaaSMedicSvc (WaaSMedicSvc) - Служба остановлена
      Центр обновления Windows (wuauserv) - Служба остановлена
      ---------------------------- [ Antivirus_WMI ] ----------------------------
      Windows Defender (выключен и обновлен)
      Kaspersky Anti-Virus (включен и обновлен)
      --------------------------- [ FirewallWindows ] ---------------------------
      Брандмауэр Защитника Windows (mpssvc) - Служба работает
      ---------------------- [ AntiVirusFirewallInstall ] -----------------------
      Kaspersky Anti-Virus v.21.3.10.391
      -------------------------- [ SecurityUtilities ] --------------------------
      Kaspersky Password Manager v.25.0.0.225
      --------------------------- [ OtherUtilities ] ----------------------------
      Среда выполнения Microsoft Edge WebView2 Runtime v.136.0.3240.50
      Steam v.2.10.91.91
      Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0
      Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0
      ------------------------------- [ Backup ] --------------------------------
      Microsoft OneDrive v.25.065.0406.0002
      ---------------------------- [ ProxyAndVPNs ] -----------------------------
      PlanetVPN-2.10.30.68 v.2.10.30.68
      ------------------------------- [ Browser ] -------------------------------
      Microsoft Edge v.136.0.3240.50
      ------------------ [ AntivirusFirewallProcessServices ] -------------------
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avp.exe v.21.3.0.1
      Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
      C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 21.3\avpui.exe v.21.3.12.434
      Microsoft Defender Core Service (MDCoreSvc) - Служба остановлена
      Microsoft Defender Antivirus Service (WinDefend) - Служба остановлена
      Microsoft Defender Antivirus Network Inspection Service (WdNisSvc) - Служба остановлена
      ----------------------------- [ End of Log ] ------------------------------
    • dampe
      поймал шифровальщик ooo4ps
      Автор dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • Albert2025
      [РЕШЕНО] Поймал вирус, но не лечится стандартно
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • Денис К
      [РЕШЕНО] Поймал майнер Tool.BtcMine.2794
      Автор Денис К
      Здравствуйте, словил вирус, майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. 
      Логи прикладываю
      CollectionLog-2025.05.18-21.17.zip
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...