Перейти к содержанию

Рекомендуемые сообщения

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки

Start::
(explorer.exe ->) (Microsoft) [File not signed] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\winlogon.exe
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
HKU\S-1-5-21-2167710589-2702473778-3371781714-1601\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\A.Kormilitsin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-09] (Microsoft) [File not signed] <==== ATTENTION
Startup: C:\Users\A.Kormilitsin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-02-20] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-01-09] (Microsoft) [File not signed] <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
2024-02-20 22:06 - 2024-02-20 22:06 - 000110592 ___SH C:\ProgramData\bs221jkm.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH C:\ProgramData\ubt11yz4.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH C:\ProgramData\jxqio1g2.exe
2024-02-20 15:58 - 2024-02-20 16:03 - 000005924 _____ C:\Windows\SysWOW64\info.hta
2024-02-20 15:58 - 2024-02-20 15:58 - 000110592 ___SH C:\ProgramData\li05cdqm.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH C:\ProgramData\higpq0sz.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH C:\ProgramData\fidekpo5.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-02-20 15:56 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-02-20 13:55 - 2024-02-20 15:56 - 000003236 _____ C:\Windows\system32\Tasks\BlackBit
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH C:\ProgramData\viykspoe.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH C:\ProgramData\b20550oz.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Users\A.Kormilitsin\AppData\Roaming\winlogon.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-02-20 13:51 - 2023-08-06 09:59 - 000128000 _____ C:\Users\A.Kormilitsin\Desktop\NS.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH () C:\ProgramData\b20550oz.exe
2024-02-20 22:06 - 2024-02-20 22:06 - 000110592 ___SH () C:\ProgramData\bs221jkm.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH () C:\ProgramData\fidekpo5.exe
2024-02-20 15:56 - 2024-02-20 15:56 - 000110592 ___SH () C:\ProgramData\higpq0sz.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH () C:\ProgramData\jxqio1g2.exe
2024-02-20 15:58 - 2024-02-20 15:58 - 000110592 ___SH () C:\ProgramData\li05cdqm.exe
2024-02-20 16:02 - 2024-02-20 16:02 - 000110592 ___SH () C:\ProgramData\ubt11yz4.exe
2024-02-20 13:55 - 2024-02-20 13:55 - 000110592 ___SH () C:\ProgramData\viykspoe.exe
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\ProgramData\winlogon.exe
2024-02-20 14:03 - 2024-02-20 14:03 - 000000386 _____ () C:\Program Files\Restore-My-Files.txt
2024-02-20 14:03 - 2024-02-20 14:03 - 000000386 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2024-02-20 15:57 - 2024-02-20 15:57 - 000000332 _____ () C:\Users\A.Kormilitsin\AppData\Roaming\Restore-My-Files.txt
2024-02-20 13:55 - 2024-01-09 03:55 - 000556032 ___SH (Microsoft) C:\Users\A.Kormilitsin\AppData\Roaming\winlogon.exe
2024-02-20 15:57 - 2024-02-20 15:57 - 000000332 _____ () C:\Users\A.Kormilitsin\AppData\Local\Restore-My-Files.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\quarantine с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

принято решение удалить компьютер это виртуальная машина, перестал пускать, возможно расшифровать файлы которые находились на сетевом ресурсе.

Ссылка на сообщение
Поделиться на другие сайты

@Антон Петров, здравствуйте!

Не пишите в чужой теме, это нарушение правил раздела.

Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sduganov
      От sduganov
      Добрый день!
      поймали шифровальщика.. не смогли запустить 1с они еще и на sql
      Addition.txt FRST.txt файлызашиф.rar
    • kemermax42
      От kemermax42
      Здравствуйте. Прошу помощи с шифровальщиком decryption@cock.lu
      Систему переставили, так как нужно было работать, файлы зашифрованные лежат на отдельном диске. 
      Подскажите что нужно отправить для помощи в расшифровке.
      Письмо вымогателя:
      >>>> Your data are encrypted ...
              All your files have been encrypted by Shuriken !!!
              
              To decrypt them send e-mail to this address : decryption@cock.lu
              
              If you do not receive a response within 24 hours, send an email to this address: decryption@cock.lu
              
              Need a quick decryption ? Send a telegram message @ShurikenAdmin
              
              
      >>>> Your DECRYPTION ID :  42*****
              Enter the ID of your files in the subject!
              
      >>>>  What is our decryption guarantee?
              Before paying you can send us up to 2 test files for free decryption !
              
              The total size of files must be less than 2Mb.(non archived) !
              
              Files should not contain valuable information.(databases,backups) !
              
              Compress the file with zip or 7zip or rar compression programs and send it to us!
      !!!Deleting "Cpriv.Shuriken" causes permanent data loss.
    • serioussd
      От serioussd
      Сервер поймал шифровальщик blackbit, прошу помощи в чистке сервера и возможной дешифровке файлов, пропали все программы, на сервере расположены базы 1с, postgresql  два файла.zipFixlog.txt   

    • Шевченко Максим
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • Gupecology
      От Gupecology
      Взломали сервер и зашифровали файлы. Требуют выкуп. Из за чего непонятно, возможно взломали через rdp.FRST.txtAddition.txtАрхив WinRAR.rar
×
×
  • Создать...