lokilocker Поймал BlackBit

[wowabas_1959]

Неожиданно сегодня прилетел BlackBit и зашифровал системный диск и диск с архивом. Требует денег.

Систему-то я могу переустановить с нуля, а вот архивы (фото, документы) жалко.

Необходимые файлы как смог приготовил. Хотя через несколько секунд они тоже шифруются.

 А вот добавить образ автозапуска системы в uVS не могу.
архив программы скачивал несколько раз и из разных мест.
При попытке риаспаковать данный архив с программой в отдельный каталог пишет поврежденный архив.

Addition.txtПолучение информации... eb2d57b2-83b2-45ac-80aa-e28b8e2a3089.zipПолучение информации... FRST.txtПолучение информации...

[safety]

Скачивать uVS необходимо только с доверенных источников, или по ссылкам на доверенных форумах.

ПК домашний, или рабочий в локальной сети?

Система помимо файлов шифрования еще и с майнером сосуществует.

 

да, файл шифровальщика висит в памяти, и диспетчер процессов отключен.

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, без перезагрузки системы.

Start::
SystemRestore: On
(explorer.exe ->) (Microsoft) [Файл не подписан] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe
(explorer.exe ->) (Realtek Semiconductor) [Файл не подписан] C:\ProgramData\ReaItekHD\taskhostw.exe
(svchost.exe ->) (Microsoft Corporation) [Файл не подписан] C:\ProgramData\ReaItekHD\taskhost.exe
(tox) [Файл не подписан] C:\ProgramData\Windows Tasks Service\winserv.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-3022024560-2423720415-3943726524-1001\...\Policies\Explorer\DisallowRun: [26] KVRT(1).exe
StartupDir: C:\Users\wowa\AppData\Local\Temp\4fdb51ccdc\ <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2023-11-18] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {34058F8D-47AA-4D8A-A5C3-9D99B02BED04} - System32\Tasks\BlackBit => C:\Users\wowa\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {517EB34D-697E-4D50-819C-45DAC0FF7E5B} - System32\Tasks\Microsoft\Windows\FilesystemY\nJi5YzflKImWyKPuo2l => C:\Programdata\ReaItekHD\taskhost.exe [20750864 2023-10-01] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {EDD54A2E-07B2-466D-BA5B-DFA2BB06DA20} - System32\Tasks\Microsoft\Windows\FilesystemY\RecoveryHosts => C:\ProgramData\Microsoft\NetFramework\nJi5YzflKImWyKPuo2l\FilesystemY.bat [2812 2023-12-27] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {3EF9D2FB-BFFB-4E67-A5CD-C4F926B60CAD} - System32\Tasks\Microsoft\Windows\FilesystemY\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [27743760 2023-10-01] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {5B3B3D32-0E96-46D5-B0F8-1026362093B9} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {3CD1E641-BCFF-4685-9A13-3B172F4882DA} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\Temp:088B37DC [340]
AlternateDataStreams: C:\ProgramData\Temp:D8999815 [227]
AlternateDataStreams: C:\Users\wowa\Downloads\[support890@onionmail.org][1AC249A2]file.BlackBit: peggle.deluxe                        .lnk [2178]
FirewallRules: [{8A4C5AC9-85F0-40E5-B193-03CED70D6D04}] => (Block) LPort=445
FirewallRules: [{B8BA7DE6-A8B8-4DAE-8574-09790C5CB624}] => (Block) LPort=445
FirewallRules: [{0C3280A2-A586-4269-89EA-DEE00C7EC517}] => (Block) LPort=139
FirewallRules: [{47F96E71-299A-4088-9DEE-68B421A58FB2}] => (Block) LPort=139
FirewallRules: [{6A3C631C-0ADC-475A-A4F4-4477D73A9786}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe (tox) [Файл не подписан]
EmptyTemp:
End::

После выполнения скрипта добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

 

+

еще раз добавьте новые логи.

подготовьте, пожалуйста, следующие логи:

  Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Показать  

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 8 января, 2024 пользователем safety

[wowabas_1959]

1.Компютер домашний, в сети провайдера.

2. На майнер подозрения были вконце ноября. Прошелся антивирусами. вроде удалил всё, что можно. Оказалось нет.

 

Вроде всё сделал.

3.Диспетчер задач включился.

 

Addition.txtПолучение информации... Fixlog.txtПолучение информации... FRST.txtПолучение информации... WOWA-PC_2024-01-09_05-42-01_v4.15.7zПолучение информации...

Изменено 9 января, 2024 пользователем wowabas_1959
Добавление

[safety]

уже лучше. активных файлов шифровальщика не осталось.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHKMFDIALKJNLJBCNINCGPOLLOBCLEBAF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref %SystemDrive%\USERS\WOWA\DESKTOP\WI FI\STARTWI-FI.BAT
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\DRIVERS\NTFS.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {10336656-40D7-4530-BCC0-86CD3D77D25F}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {3B0BD075-929C-4E52-AAD1-458C81A10B24}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {9800F18F-3D86-4744-A7D0-540989C86D7B}\[CLSID]
delref {9ED13477-E909-45BC-BADC-2106D04D6BD7}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E18FEC31-2EA1-49A2-A7A6-902DC0D1FF05}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESX86\MICROSOFT OFFICE\OFFICE16\NPSPWRAP.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {E3956DCF-D1C7-4375-AAAA-22FF8191C479}\[CLSID]
delref {33154C99-BF49-443D-A73C-303A23ABBE97}\[CLSID]
delref {01BE4CFB-129A-452B-A209-F9D40B3B84A5}\[CLSID]
delref {5383EF74-273B-4278-AB0C-CDAA9FD5369E}\[CLSID]
delref {5985FC23-2588-4D9A-B38B-7E7AFFAB3155}\[CLSID]
delref {72B66649-3DBF-429F-BD6F-7774A9784B78}\[CLSID]
delref {35C5242B-7455-4F9C-962B-369EA43ED6F3}\[CLSID]
delref {AFE9E2F0-5BBA-4169-A33B-EE3727AC3482}\[CLSID]
delref {355822FC-86F1-4BE8-B5F0-A33736789641}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\FFDSHOW64\FFDSHOW.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\FFDSHOW\FFDSHOW.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVSPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVSPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCVR\MPCVIDEORENDERER64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCVR\MPCVIDEORENDERER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCIMAGESOURCE\MPCIMAGESOURCE64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MPCIMAGESOURCE\MPCIMAGESOURCE.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\BASSAUDIOSOURCE64\BASSAUDIOSOURCE64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\BASSAUDIOSOURCE\BASSAUDIOSOURCE.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MADVR\MADVR64.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\MADVR\MADVR.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVAUDIO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVAUDIO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC64\LAVFILTERS64\LAVVIDEO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\MPC-HC\LAVFILTERS\LAVVIDEO.AX
delref {83C25742-A9F7-49FB-9138-434302C88D07}\[CLSID]
delref {42089D2D-912D-4018-9087-2B87803E93FB}\[CLSID]
delref {5504BE45-A83B-4808-900A-3A5C36E7F77A}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref {02BCC737-B171-4746-94C9-0D8A0B2C0089}\[CLSID]
delref {3FD37ABB-F90A-4DE5-AA38-179629E64C2F}\[CLSID]
delref {62B4D041-4667-40B6-BB50-4BC0A5043A73}\[CLSID]
delref {9203C2CB-1DC1-482D-967E-597AFF270F0D}\[CLSID]
delref {BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\NPSPWRAP.DLL
delref {5E2121EE-0300-11D4-8D3B-444553540000}\[CLSID]
delref {435E5DF5-2510-463C-B223-BDA47006D002}\[CLSID]
delref {00DE9951-7B45-4756-98DC-C025EE3E11A1}\[CLSID]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\GAMEFLT.INF_AMD64_6E426D1EFB7A9904\GAMEFLT.SYS
delref %SystemDrive%\USERS\WOWA\DESKTOP\UNLOCKER_1.9.3_PORTABLE_C\UNLOCKER_X64_1.9.3\UNLOCKERDRIVER5.SYS
delref IRENUM\[SERVICE]
delref H:\OINSTALLLITE.EXE
delref H:\LAUNCHU3.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS

[safety]

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2023-12-28] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [27856 2023-12-28] (Lavasoft Software Canada Inc. -> ) <==== ВНИМАНИЕ
2024-01-08 12:25 - 2024-01-08 14:24 - 000000109 _____ C:\WINDOWS\SysWOW64\wvtymcow.bat
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH C:\ProgramData\yyzr11jk.exe
2024-01-08 12:25 - 2023-11-18 22:44 - 000557056 _____ (Microsoft) C:\WINDOWS\SysWOW64\winlogon.exe
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH () C:\ProgramData\0ndiueur.exe
2024-01-08 13:33 - 2024-01-08 13:33 - 000110592 ___SH () C:\ProgramData\fab0ajee.exe
2024-01-08 14:24 - 2024-01-08 14:24 - 000110592 ___SH () C:\ProgramData\qxgchh43.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH () C:\ProgramData\yyzr11jk.exe
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH C:\ProgramData\0ndiueur.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2023-12-28 13:09 - 2024-01-08 10:24 - 000000000 ___HD C:\Program Files\RDP Wrapper
2023-12-28 13:09 - 2023-12-28 13:09 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-12-28 09:00 - 2023-12-28 09:00 - 000000000 ____D C:\ProgramData\Lavasoft
2023-12-28 09:00 - 2023-12-28 09:00 - 000000000 ____D C:\Program Files (x86)\Lavasoft
2023-12-27 16:15 - 2023-12-27 16:15 - 000000000 __SHD C:\Program Files\Transmission
2023-12-27 16:14 - 2023-12-28 13:09 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Downloads\AV_block_remover
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Downloads\AutoLogger
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Desktop\AV_block_remover
2023-12-27 16:14 - 2023-12-27 16:14 - 000000000 __SHD C:\Users\wowa\Desktop\AutoLogger
2024-01-08 10:22 - 2024-01-08 10:22 - 000110592 ___SH () C:\ProgramData\0ndiueur.exe
2024-01-08 13:33 - 2024-01-08 13:33 - 000110592 ___SH () C:\ProgramData\fab0ajee.exe
2024-01-08 14:24 - 2024-01-08 14:24 - 000110592 ___SH () C:\ProgramData\qxgchh43.exe
2024-01-08 10:22 - 2023-11-18 22:44 - 000557056 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-01-08 12:25 - 2024-01-08 12:25 - 000110592 ___SH () C:\ProgramData\yyzr11jk.exe
2022-02-20 11:27 C:\KVRT2020_Data
2022-10-19 14:19 C:\KVRT2021_Data
2022-10-19 14:19 C:\KVRT2022_Data
2022-10-19 14:19 C:\KVRT2023_Data
2022-09-29 14:58 C:\KVRT_Data
2022-10-19 14:19 C:\Program Files\360
2022-09-29 14:58 C:\Program Files\AVAST Software
2022-09-29 14:58 C:\Program Files\AVG
2022-10-19 14:19 C:\Program Files\Avira
2022-10-19 14:19 C:\Program Files\BitDefender
2022-09-29 14:58 C:\Program Files\Bitdefender Agent
2022-09-29 14:58 C:\Program Files\Cezurity
2022-10-19 14:19 C:\Program Files\CheckPoint
2022-09-29 14:58 C:\Program Files\COMODO
2022-09-29 14:58 C:\Program Files\DrWeb
2022-09-29 14:58 C:\Program Files\Enigma Software Group
2022-10-19 14:19 C:\Program Files\EnigmaSoft
2022-10-19 14:19 C:\Program Files\eScan
2022-09-29 14:58 C:\Program Files\ESET
2022-10-19 14:19 C:\Program Files\F-Secure
2022-10-19 14:19 C:\Program Files\GRIZZLY Antivirus
2022-10-19 14:19 C:\Program Files\HitmanPro
2022-10-19 14:19 C:\Program Files\Immunet
2022-10-19 14:19 C:\Program Files\IObit
2022-10-19 14:19 C:\Program Files\K7 Computing
2022-09-29 14:58 C:\Program Files\Kaspersky Lab
2022-09-29 14:58 C:\Program Files\Loaris Trojan Remover
2021-12-06 06:18 C:\Program Files\Malwarebytes
2022-10-19 14:19 C:\Program Files\McAfee
2022-10-19 14:19 C:\Program Files\McAfee Security Scan
2022-10-19 14:19 C:\Program Files\NANO Antivirus
2023-12-27 16:15 C:\Program Files\NETGATE
2022-10-19 14:19 C:\Program Files\Panda Security
2023-12-27 16:15 C:\Program Files\Process Hacker 2
2022-09-29 14:58 C:\Program Files\Process Lasso
2022-10-19 14:19 C:\Program Files\Quick Heal
2023-12-27 16:15 C:\Program Files\QuickCPU
2022-09-29 14:58 C:\Program Files\Rainmeter
2022-09-29 14:58 C:\Program Files\Ravantivirus
2023-12-27 16:15 C:\Program Files\RogueKiller
2022-10-19 14:19 C:\Program Files\SentinelOne
2022-10-19 14:19 C:\Program Files\Seqrite
2022-10-19 14:19 C:\Program Files\Sophos
2022-09-29 14:58 C:\Program Files\SpyHunter
2023-12-27 16:15 C:\Program Files\SUPERAntiSpyware
2022-10-19 14:19 C:\Program Files\Symantec
2022-10-19 14:19 C:\Program Files\Telmex
2023-12-27 16:15 C:\Program Files\Transmission
2022-10-19 14:19 C:\Program Files\Trend Micro
2022-10-19 14:19 C:\Program Files\Webroot
2022-10-19 14:19 C:\Program Files (x86)\360
2022-09-29 14:58 C:\Program Files (x86)\AVAST Software
2022-09-29 14:58 C:\Program Files (x86)\AVG
2022-10-19 14:19 C:\Program Files (x86)\Avira
2022-10-19 14:19 C:\Program Files (x86)\BitDefender
2022-10-19 14:19 C:\Program Files (x86)\Bitdefender Agent
2022-09-29 14:58 C:\Program Files (x86)\Cezurity
2022-10-19 14:19 C:\Program Files (x86)\CheckPoint
2022-10-19 14:19 C:\Program Files (x86)\COMODO
2022-10-19 14:19 C:\Program Files (x86)\DrWeb
2022-10-19 14:19 C:\Program Files (x86)\Enigma Software Group
2022-10-19 14:19 C:\Program Files (x86)\EnigmaSoft
2022-10-19 14:19 C:\Program Files (x86)\eScan
2022-10-19 14:19 C:\Program Files (x86)\ESET
2022-10-19 14:19 C:\Program Files (x86)\F-Secure
2023-12-27 16:15 C:\Program Files (x86)\GPU Temp
2022-09-29 14:58 C:\Program Files (x86)\GRIZZLY Antivirus
2022-10-19 14:19 C:\Program Files (x86)\HitmanPro
2022-10-19 14:19 C:\Program Files (x86)\Immunet
2022-11-10 13:10 C:\Program Files (x86)\IObit
2022-10-19 14:19 C:\Program Files (x86)\K7 Computing
2022-09-29 14:58 C:\Program Files (x86)\Kaspersky Lab
2022-10-19 14:19 C:\Program Files (x86)\Malwarebytes
2022-10-19 14:19 C:\Program Files (x86)\McAfee
2022-10-19 14:19 C:\Program Files (x86)\McAfee Security Scan
2022-09-29 14:58 C:\Program Files (x86)\Microsoft JDX
2023-12-27 16:15 C:\Program Files (x86)\Moo0
2022-10-19 14:19 C:\Program Files (x86)\NANO Antivirus
2022-09-29 14:59 C:\Program Files (x86)\Panda Security
2022-10-19 14:19 C:\Program Files (x86)\Quick Heal
2022-10-19 14:19 C:\Program Files (x86)\SentinelOne
2022-10-19 14:19 C:\Program Files (x86)\Seqrite
2022-10-19 14:19 C:\Program Files (x86)\Sophos
2023-12-27 16:15 C:\Program Files (x86)\SpeedFan
2022-09-29 14:58 C:\Program Files (x86)\SpyHunter
2022-10-19 14:19 C:\Program Files (x86)\Symantec
2022-10-19 14:19 C:\Program Files (x86)\Telmex
2022-09-29 14:59 C:\Program Files (x86)\Transmission
2022-10-19 14:19 C:\Program Files (x86)\Trend Micro
2022-10-19 14:19 C:\Program Files (x86)\Webroot
2022-09-29 14:58 C:\WINDOWS\speechstracing
2022-09-29 14:58 C:\Program Files\Common Files\AV
2022-09-29 14:58 C:\Program Files\Common Files\Doctor Web
2022-09-29 14:58 C:\Program Files\Common Files\McAfee
2022-09-29 14:58 C:\ProgramData\360safe
2022-09-29 14:58 C:\ProgramData\AVAST Software
2022-10-19 14:19 C:\ProgramData\AVG
2022-09-29 14:58 C:\ProgramData\Avira
2022-10-19 14:19 C:\ProgramData\Bitdefender Agent
2022-09-29 14:59 C:\ProgramData\BookManager
2022-09-29 14:58 C:\ProgramData\Doctor Web
2022-09-29 14:59 C:\ProgramData\ESET
2022-09-29 14:58 C:\ProgramData\Evernote
2022-09-29 14:59 C:\ProgramData\FingerPrint
2022-09-29 14:58 C:\ProgramData\grizzly
2022-10-19 14:19 C:\ProgramData\HitmanPro.Alert
2022-09-29 14:58 C:\ProgramData\Kaspersky Lab
2022-02-20 11:27 C:\ProgramData\Kaspersky Lab Setup Files
2022-09-29 14:58 C:\ProgramData\MB3Install
2022-09-29 14:58 C:\ProgramData\McAfee
2022-09-29 14:58 C:\ProgramData\Norton
2023-12-27 16:15 C:\ProgramData\princeton-produce
2022-09-29 14:58 C:\ProgramData\PuzzleMedia
2022-09-29 14:58 C:\ProgramData\RealtekHD
2022-09-29 14:58 C:\ProgramData\RobotDemo
2022-10-19 14:19 C:\ProgramData\Sophos
2022-10-19 14:19 C:\ProgramData\Symantec
2022-10-19 14:19 C:\ProgramData\Symantec.cloud
2022-10-19 14:19 C:\ProgramData\Telmex
2022-09-29 14:58 C:\ProgramData\WavePad
2022-12-16 14:51 C:\ProgramData\WindowsTask
2023-12-27 16:14 C:\Users\wowa\Desktop\AutoLogger
2023-12-27 16:14 C:\Users\wowa\Desktop\AV_block_remover
2023-12-27 16:14 C:\Users\wowa\Downloads\AutoLogger
2023-12-27 16:14 C:\Users\wowa\Downloads\AV_block_remover
2023-12-27 16:15 C:\Users\wowa\AppData\Roaming\Sysfiles
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

[wowabas_1959]

Спасибо, файлы и паки изменили значок и стали "неизвестным приложением"

2024-01-09_09-55-44_log.txtПолучение информации... Fixlog.txtПолучение информации...

[safety]

С расшифровкой файлов, к сожалению, не сможем помочь. На текущий момент по данному типу шифровальщика LokiLocker расшифровка без приватного ключа невозможна.

[Sandor]

@wowabas_1959, для верности проделайте ещё следующее:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt
 

[wowabas_1959]

Спасибо и на этом.

Позвольте несколько вопросов для дилетанта.

1.Насколько безопасен данный компьютер сейчас.

2.Можно ли к нему подключать внешние накопители (CD, DVD, USB-HDD и т.п) с точи зрения сохранности данных на них.

3.Можно ли на данном компьютере развернуть установочный образ системы на флешку (Rufus).

 

 

Систему буду переустанавливать, поэтому ещё вопрос - как поступить с локальным диском:

1.отформатировать сейчас

2. отформатировать во время установуи системы

3. отключить на время установки сстемы и позже отформатировать средствами новой системы

4 использовать стороннюю программу

[Sandor]

  В 09.01.2024 в 08:03, wowabas_1959 сказал:

Насколько безопасен данный компьютер сейчас

Показать  

Активного заражения сейчас нет, поэтому смело можете подключать внешние носители. Как для переноса данных, так и для создания загрузочной флешки.

[wowabas_1959]

To Sandor

Addition.txtПолучение информации... AV_block_remove_2024.01.09-11.07.logПолучение информации... FRST.txtПолучение информации...

[Sandor]

Спасибо. Дочистили кое-какие хвосты.

Раз планируете переустановку системы, на этом можно закончить обсуждение.

[wowabas_1959]

А что всё-таки посоветуете с форматированием локального диска?

 

[Sandor]

  В 09.01.2024 в 08:03, wowabas_1959 сказал:

отформатировать во время установки системы

Показать  

Так вполне можно.

[wowabas_1959]

Ещё раз огромное спасибо за помощь.