lokilocker Поймал BlackBit

[wowabas_1959]

Неожиданно сегодня прилетел BlackBit и зашифровал системный диск и диск с архивом. Требует денег.

Систему-то я могу переустановить с нуля, а вот архивы (фото, документы) жалко.

Необходимые файлы как смог приготовил. Хотя через несколько секунд они тоже шифруются.

 А вот добавить образ автозапуска системы в uVS не могу.
архив программы скачивал несколько раз и из разных мест.
При попытке риаспаковать данный архив с программой в отдельный каталог пишет поврежденный архив.

Addition.txt eb2d57b2-83b2-45ac-80aa-e28b8e2a3089.zip FRST.txt

[safety]

Скачивать uVS необходимо только с доверенных источников, или по ссылкам на доверенных форумах.

ПК домашний, или рабочий в локальной сети?

Система помимо файлов шифрования еще и с майнером сосуществует.

 

да, файл шифровальщика висит в памяти, и диспетчер процессов отключен.

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, без перезагрузки системы.

Start::
SystemRestore: On
(explorer.exe ->) (Microsoft) [Файл не подписан] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe
(explorer.exe ->) (Realtek Semiconductor) [Файл не подписан] C:\ProgramData\ReaItekHD\taskhostw.exe
(svchost.exe ->) (Microsoft Corporation) [Файл не подписан] C:\ProgramData\ReaItekHD\taskhost.exe
(tox) [Файл не подписан] C:\ProgramData\Windows Tasks Service\winserv.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [26] KVRT(1).exe
StartupDir: C:\Users\wowa\AppData\Local\Temp\4fdb51ccdc\ <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-11-18] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {34058F8D-47AA-4D8A-A5C3-9D99B02BED04} - System32\Tasks\BlackBit => C:\Users\wowa\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {517EB34D-697E-4D50-819C-45DAC0FF7E5B} - System32\Tasks\Microsoft\Windows\FilesystemY\nJi5YzflKImWyKPuo2l => C:\Programdata\ReaItekHD\taskhost.exe [20750864 2023-10-01] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {EDD54A2E-07B2-466D-BA5B-DFA2BB06DA20} - System32\Tasks\Microsoft\Windows\FilesystemY\RecoveryHosts => C:\ProgramData\Microsoft\NetFramework\nJi5YzflKImWyKPuo2l\FilesystemY.bat [2812 2023-12-27] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {3EF9D2FB-BFFB-4E67-A5CD-C4F926B60CAD} - System32\Tasks\Microsoft\Windows\FilesystemY\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [27743760 2023-10-01] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {5B3B3D32-0E96-46D5-B0F8-1026362093B9} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {3CD1E641-BCFF-4685-9A13-3B172F4882DA} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\Temp:088B37DC [340]
AlternateDataStreams: C:\ProgramData\Temp:D8999815 [227]
AlternateDataStreams: C:\Users\wowa\Downloads\[support890@onionmail.org][1AC249A2]file.BlackBit: peggle.deluxe                        .lnk [2178]
FirewallRules: [{8A4C5AC9-85F0-40E5-B193-03CED70D6D04}] => (Block) LPort=445
FirewallRules: [{B8BA7DE6-A8B8-4DAE-8574-09790C5CB624}] => (Block) LPort=445
FirewallRules: [{0C3280A2-A586-4269-89EA-DEE00C7EC517}] => (Block) LPort=139
FirewallRules: [{47F96E71-299A-4088-9DEE-68B421A58FB2}] => (Block) LPort=139
FirewallRules: [{6A3C631C-0ADC-475A-A4F4-4477D73A9786}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe (tox) [Файл не подписан]
EmptyTemp:
End::

После выполнения скрипта добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

 

+

еще раз добавьте новые логи.

подготовьте, пожалуйста, следующие логи:

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 8 января пользователем safety

[wowabas_1959]

1.Компютер домашний, в сети провайдера.

2. На майнер подозрения были вконце ноября. Прошелся антивирусами. вроде удалил всё, что можно. Оказалось нет.

 

Вроде всё сделал.

3.Диспетчер задач включился.

 

Addition.txt Fixlog.txt FRST.txt WOWA-PC_2024-01-09_05-42-01_v4.15.7z

Изменено 9 января пользователем wowabas_1959
Добавление

[safety]

уже лучше. активных файлов шифровальщика не осталось.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHKMFDIALKJNLJBCNINCGPOLLOBCLEBAF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref %SystemDrive%\USERS\WOWA\DESKTOP\WI FI\STARTWI-FI.BAT
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\DRIVERS\NTFS.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {10336656-40D7-4530-BCC0-86CD3D77D25F}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {3B0BD075-929C-4E52-AAD1-458C81A10B24}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {9800F18F-3D86-4744-A7D0-540989C86D7B}\[CLSID]
delref {9ED13477-E909-45BC-BADC-2106D04D6BD7}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E18FEC31-2EA1-49A2-A7A6-902DC0D1FF05}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\NPSPWRAP.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {E3956DCF-D1C7-4375-AAAA-22FF8191C479}\[CLSID]
delref {33154C99-BF49-443D-A73C-303A23ABBE97}\[CLSID]
delref {01BE4CFB-129A-452B-A209-F9D40B3B84A5}\[CLSID]
delref {5383EF74-273B-4278-AB0C-CDAA9FD5369E}\[CLSID]
delref {5985FC23-2588-4D9A-B38B-7E7AFFAB3155}\[CLSID]
delref {72B66649-3DBF-429F-BD6F-7774A9784B78}\[CLSID]
delref {35C5242B-7455-4F9C-962B-369EA43ED6F3}\[CLSID]
delref {AFE9E2F0-5BBA-4169-A33B-EE3727AC3482}\[CLSID]
delref {355822FC-86F1-4BE8-B5F0-A33736789641}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\FFDSHOW64\FFDSHOW.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\FFDSHOW\FFDSHOW.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVSPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVSPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCVR\MPCVIDEORENDERER64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCVR\MPCVIDEORENDERER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCIMAGESOURCE\MPCIMAGESOURCE64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCIMAGESOURCE\MPCIMAGESOURCE.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\BASSAUDIOSOURCE64\BASSAUDIOSOURCE64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\BASSAUDIOSOURCE\BASSAUDIOSOURCE.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MADVR\MADVR64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MADVR\MADVR.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVAUDIO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVAUDIO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVVIDEO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVVIDEO.AX
delref {83C25742-A9F7-49FB-9138-434302C88D07}\[CLSID]
delref {42089D2D-912D-4018-9087-2B87803E93FB}\[CLSID]
delref {5504BE45-A83B-4808-900A-3A5C36E7F77A}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref {02BCC737-B171-4746-94C9-0D8A0B2C0089}\[CLSID]
delref {3FD37ABB-F90A-4DE5-AA38-179629E64C2F}\[CLSID]
delref {62B4D041-4667-40B6-BB50-4BC0A5043A73}\[CLSID]
delref {9203C2CB-1DC1-482D-967E-597AFF270F0D}\[CLSID]
delref {BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\NPSPWRAP.DLL
delref {5E2121EE-0300-11D4-8D3B-444553540000}\[CLSID]
delref {435E5DF5-2510-463C-B223-BDA47006D002}\[CLSID]
delref {00DE9951-7B45-4756-98DC-C025EE3E11A1}\[CLSID]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\GAMEFLT.INF_AMD64_6E426D1EFB7A9904\GAMEFLT.SYS
delref %SystemDrive%\USERS\WOWA\DESKTOP\UNLOCKER_1.9.3_PORTABLE_C\UNLOCKER_X64_1.9.3\UNLOCKERDRIVER5.SYS
delref IRENUM\[SERVICE]
delref H:\OINSTALLLITE.EXE
delref H:\LAUNCHU3.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS

[safety]

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2023-12-28] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [27856 2023-12-28] (Lavasoft Software Canada Inc. -> ) <==== ВНИМАНИЕ
2024-01-08 12:25 - 2024-01-08 14:24 - 000000109 _____ C:\WINDOWS\SysWOW64\wvtymcow.bat
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH C:\ProgramData\yyzr11jk.exe
2024-01-08 12:25 - 2023-11-18 22:44 - 000557056 _____ (Microsoft) C:\WINDOWS\SysWOW64\winlogon.exe
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH () C:\ProgramData\0ndiueur.exe
2024-01-08 13:33 - 2024-01-08 13:33 - 000110592 ___SH () C:\ProgramData\fab0ajee.exe
2024-01-08 14:24 - 2024-01-08 14:24 - 000110592 ___SH () C:\ProgramData\qxgchh43.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH () C:\ProgramData\yyzr11jk.exe
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH C:\ProgramData\0ndiueur.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2023-12-28 13:09 - 2024-01-08 10:24 - 000000000 ___HD C:\Program Files\RDP Wrapper
2023-12-28 13:09 - 2023-12-28 13:09 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-12-28 09:00 - 2023-12-28 09:00 - 000000000 ____D C:\ProgramData\Lavasoft
2023-12-28 09:00 - 2023-12-28 09:00 - 000000000 ____D C:\Program Files (x86)\Lavasoft
2023-12-27 16:15 - 2023-12-27 16:15 - 000000000 __SHD C:\Program Files\Transmission
2023-12-27 16:14 - 2023-12-28 13:09 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Downloads\AV_block_remover
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Downloads\AutoLogger
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Desktop\AV_block_remover
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Desktop\AutoLogger
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH () C:\ProgramData\0ndiueur.exe
2024-01-08 13:33 - 2024-01-08 13:33 - 000110592 ___SH () C:\ProgramData\fab0ajee.exe
2024-01-08 14:24 - 2024-01-08 14:24 - 000110592 ___SH () C:\ProgramData\qxgchh43.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH () C:\ProgramData\yyzr11jk.exe
2022-02-20 11:27 C:\KVRT2020_Data
2022-10-19 14:19 C:\KVRT2021_Data
2022-10-19 14:19 C:\KVRT2022_Data
2022-10-19 14:19 C:\KVRT2023_Data
2022-09-29 14:58 C:\KVRT_Data
2022-10-19 14:19 C:\Program Files\360
2022-09-29 14:58 C:\Program Files\AVAST Software
2022-09-29 14:58 C:\Program Files\AVG
2022-10-19 14:19 C:\Program Files\Avira
2022-10-19 14:19 C:\Program Files\BitDefender
2022-09-29 14:58 C:\Program Files\Bitdefender Agent
2022-09-29 14:58 C:\Program Files\Cezurity
2022-10-19 14:19 C:\Program Files\CheckPoint
2022-09-29 14:58 C:\Program Files\COMODO
2022-09-29 14:58 C:\Program Files\DrWeb
2022-09-29 14:58 C:\Program Files\Enigma Software Group
2022-10-19 14:19 C:\Program Files\EnigmaSoft
2022-10-19 14:19 C:\Program Files\eScan
2022-09-29 14:58 C:\Program Files\ESET
2022-10-19 14:19 C:\Program Files\F-Secure
2022-10-19 14:19 C:\Program Files\GRIZZLY Antivirus
2022-10-19 14:19 C:\Program Files\HitmanPro
2022-10-19 14:19 C:\Program Files\Immunet
2022-10-19 14:19 C:\Program Files\IObit
2022-10-19 14:19 C:\Program Files\K7 Computing
2022-09-29 14:58 C:\Program Files\Kaspersky Lab
2022-09-29 14:58 C:\Program Files\Loaris Trojan Remover
2021-12-06 06:18 C:\Program Files\Malwarebytes
2022-10-19 14:19 C:\Program Files\McAfee
2022-10-19 14:19 C:\Program Files\McAfee Security Scan
2022-10-19 14:19 C:\Program Files\NANO Antivirus
2023-12-27 16:15 C:\Program Files\NETGATE
2022-10-19 14:19 C:\Program Files\Panda Security
2023-12-27 16:15 C:\Program Files\Process Hacker 2
2022-09-29 14:58 C:\Program Files\Process Lasso
2022-10-19 14:19 C:\Program Files\Quick Heal
2023-12-27 16:15 C:\Program Files\QuickCPU
2022-09-29 14:58 C:\Program Files\Rainmeter
2022-09-29 14:58 C:\Program Files\Ravantivirus
2023-12-27 16:15 C:\Program Files\RogueKiller
2022-10-19 14:19 C:\Program Files\SentinelOne
2022-10-19 14:19 C:\Program Files\Seqrite
2022-10-19 14:19 C:\Program Files\Sophos
2022-09-29 14:58 C:\Program Files\SpyHunter
2023-12-27 16:15 C:\Program Files\SUPERAntiSpyware
2022-10-19 14:19 C:\Program Files\Symantec
2022-10-19 14:19 C:\Program Files\Telmex
2023-12-27 16:15 C:\Program Files\Transmission
2022-10-19 14:19 C:\Program Files\Trend Micro
2022-10-19 14:19 C:\Program Files\Webroot
2022-10-19 14:19 C:\Program Files (x86)\360
2022-09-29 14:58 C:\Program Files (x86)\AVAST Software
2022-09-29 14:58 C:\Program Files (x86)\AVG
2022-10-19 14:19 C:\Program Files (x86)\Avira
2022-10-19 14:19 C:\Program Files (x86)\BitDefender
2022-10-19 14:19 C:\Program Files (x86)\Bitdefender Agent
2022-09-29 14:58 C:\Program Files (x86)\Cezurity
2022-10-19 14:19 C:\Program Files (x86)\CheckPoint
2022-10-19 14:19 C:\Program Files (x86)\COMODO
2022-10-19 14:19 C:\Program Files (x86)\DrWeb
2022-10-19 14:19 C:\Program Files (x86)\Enigma Software Group
2022-10-19 14:19 C:\Program Files (x86)\EnigmaSoft
2022-10-19 14:19 C:\Program Files (x86)\eScan
2022-10-19 14:19 C:\Program Files (x86)\ESET
2022-10-19 14:19 C:\Program Files (x86)\F-Secure
2023-12-27 16:15 C:\Program Files (x86)\GPU Temp
2022-09-29 14:58 C:\Program Files (x86)\GRIZZLY Antivirus
2022-10-19 14:19 C:\Program Files (x86)\HitmanPro
2022-10-19 14:19 C:\Program Files (x86)\Immunet
2022-11-10 13:10 C:\Program Files (x86)\IObit
2022-10-19 14:19 C:\Program Files (x86)\K7 Computing
2022-09-29 14:58 C:\Program Files (x86)\Kaspersky Lab
2022-10-19 14:19 C:\Program Files (x86)\Malwarebytes
2022-10-19 14:19 C:\Program Files (x86)\McAfee
2022-10-19 14:19 C:\Program Files (x86)\McAfee Security Scan
2022-09-29 14:58 C:\Program Files (x86)\Microsoft JDX
2023-12-27 16:15 C:\Program Files (x86)\Moo0
2022-10-19 14:19 C:\Program Files (x86)\NANO Antivirus
2022-09-29 14:59 C:\Program Files (x86)\Panda Security
2022-10-19 14:19 C:\Program Files (x86)\Quick Heal
2022-10-19 14:19 C:\Program Files (x86)\SentinelOne
2022-10-19 14:19 C:\Program Files (x86)\Seqrite
2022-10-19 14:19 C:\Program Files (x86)\Sophos
2023-12-27 16:15 C:\Program Files (x86)\SpeedFan
2022-09-29 14:58 C:\Program Files (x86)\SpyHunter
2022-10-19 14:19 C:\Program Files (x86)\Symantec
2022-10-19 14:19 C:\Program Files (x86)\Telmex
2022-09-29 14:59 C:\Program Files (x86)\Transmission
2022-10-19 14:19 C:\Program Files (x86)\Trend Micro
2022-10-19 14:19 C:\Program Files (x86)\Webroot
2022-09-29 14:58 C:\WINDOWS\speechstracing
2022-09-29 14:58 C:\Program Files\Common Files\AV
2022-09-29 14:58 C:\Program Files\Common Files\Doctor Web
2022-09-29 14:58 C:\Program Files\Common Files\McAfee
2022-09-29 14:58 C:\ProgramData\360safe
2022-09-29 14:58 C:\ProgramData\AVAST Software
2022-10-19 14:19 C:\ProgramData\AVG
2022-09-29 14:58 C:\ProgramData\Avira
2022-10-19 14:19 C:\ProgramData\Bitdefender Agent
2022-09-29 14:59 C:\ProgramData\BookManager
2022-09-29 14:58 C:\ProgramData\Doctor Web
2022-09-29 14:59 C:\ProgramData\ESET
2022-09-29 14:58 C:\ProgramData\Evernote
2022-09-29 14:59 C:\ProgramData\FingerPrint
2022-09-29 14:58 C:\ProgramData\grizzly
2022-10-19 14:19 C:\ProgramData\HitmanPro.Alert
2022-09-29 14:58 C:\ProgramData\Kaspersky Lab
2022-02-20 11:27 C:\ProgramData\Kaspersky Lab Setup Files
2022-09-29 14:58 C:\ProgramData\MB3Install
2022-09-29 14:58 C:\ProgramData\McAfee
2022-09-29 14:58 C:\ProgramData\Norton
2023-12-27 16:15 C:\ProgramData\princeton-produce
2022-09-29 14:58 C:\ProgramData\PuzzleMedia
2022-09-29 14:58 C:\ProgramData\RealtekHD
2022-09-29 14:58 C:\ProgramData\RobotDemo
2022-10-19 14:19 C:\ProgramData\Sophos
2022-10-19 14:19 C:\ProgramData\Symantec
2022-10-19 14:19 C:\ProgramData\Symantec.cloud
2022-10-19 14:19 C:\ProgramData\Telmex
2022-09-29 14:58 C:\ProgramData\WavePad
2022-12-16 14:51 C:\ProgramData\WindowsTask
2023-12-27 16:14 C:\Users\wowa\Desktop\AutoLogger
2023-12-27 16:14 C:\Users\wowa\Desktop\AV_block_remover
2023-12-27 16:14 C:\Users\wowa\Downloads\AutoLogger
2023-12-27 16:14 C:\Users\wowa\Downloads\AV_block_remover
2023-12-27 16:15 C:\Users\wowa\AppData\Roaming\Sysfiles
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

[wowabas_1959]

Спасибо, файлы и паки изменили значок и стали "неизвестным приложением"

2024-01-09_09-55-44_log.txt Fixlog.txt

[safety]

С расшифровкой файлов, к сожалению, не сможем помочь. На текущий момент по данному типу шифровальщика LokiLocker расшифровка без приватного ключа невозможна.

[Sandor]

@wowabas_1959, для верности проделайте ещё следующее:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt
 

[wowabas_1959]

Спасибо и на этом.

Позвольте несколько вопросов для дилетанта.

1.Насколько безопасен данный компьютер сейчас.

2.Можно ли к нему подключать внешние накопители (CD, DVD, USB-HDD и т.п) с точи зрения сохранности данных на них.

3.Можно ли на данном компьютере развернуть установочный образ системы на флешку (Rufus).

 

 

Систему буду переустанавливать, поэтому ещё вопрос - как поступить с локальным диском:

1.отформатировать сейчас

2. отформатировать во время установуи системы

3. отключить на время установки сстемы и позже отформатировать средствами новой системы

4 использовать стороннюю программу

[Sandor]

9 минут назад, wowabas_1959 сказал:

Насколько безопасен данный компьютер сейчас

Активного заражения сейчас нет, поэтому смело можете подключать внешние носители. Как для переноса данных, так и для создания загрузочной флешки.

[wowabas_1959]

To Sandor

Addition.txt AV_block_remove_2024.01.09-11.07.log FRST.txt

[Sandor]

Спасибо. Дочистили кое-какие хвосты.

Раз планируете переустановку системы, на этом можно закончить обсуждение.

[wowabas_1959]

А что всё-таки посоветуете с форматированием локального диска?

 

[Sandor]

29 минут назад, wowabas_1959 сказал:

отформатировать во время установки системы

Так вполне можно.

[wowabas_1959]

Ещё раз огромное спасибо за помощь.