Перейти к содержанию

Расшифровка файлов

Barsetka
 Share Подписчики 0

Рекомендуемые сообщения

Barsetka

Barsetka 0

Опубликовано
  • Автор
Опубликовано (изменено)

Подскажите,FRST нужно запускать на зараженной системе ? сейчас hdd вытащили в другой пк вставили.или можно на новом

Desktop.rar CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt

Изменено пользователем Barsetka
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 80

Опубликовано
Опубликовано

Нет, FRST создаст логи только в текущей активной системе.

FRST нужен чтобы отследить цепочку созданных файлов, и для очистки системы тоже важен.

 

сделайте вначале на другом ПК, куда подключили зашифрованный диск образ автозапуска в uVS, проверим нет ли в автозапуске файлов шифровальщика. только после запуска start.exe надо выбрать каталог системы с присоединенного диска (с шифрованием, который).

 

сделайте образ автозапуска системы в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)

 

Quote

Здесь надо выбрать будет системный каталог с присоединенного зашифрованного диска


3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 80

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и завершит работу без перезагрузки системы

  

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [hjppjkabmcjcmfoanoclkkjlcelepaeo]
CHR HKLM\...\Chrome\Extension: [ocilkclgcgcpfbmkmgnjgfjoanjefnop]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
CHR HKLM-x32\...\Chrome\Extension: [hjppjkabmcjcmfoanoclkkjlcelepaeo]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [ocilkclgcgcpfbmkmgnjgfjoanjefnop]
2024-03-25 14:08 - 2021-12-05 06:29 - 000000000 __SHD C:\Users\admin\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Berkut1
      Комп заразился вирусом-шифровальщиком
      От Berkut1
      Причину не знаю. На комп заходил по виндоусовскому удаленному рабочему столу. Ничего не скачивал и не открывал. Кодировка произошла 14.02.2024г. С вымогателями общался через какой-то защищенный чат utox_x86_64. Переписки не осталось. Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов. Пытался сам расшифровать файлы с помощью бесплатных утилит Касперского. Теперь обращаюсь к Вам. Все файлы открываются так:
      CHTO_S_EBALOM Ransomware!!!
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - YI3G3AShkaayDiguW29orWlSlpKI8dDXd28JnNVQcH8*CHTO_S_EBALOM
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @CHTO_S_EBALOM
      3)SKYPE - CHTO_S_EBALOM DECRYPTION
      Addition.txt FRST.txt Файлы.rar
    • xamd
      Подцепили Ransomware!
      От xamd
      день добрый , словили CHTO_S_EBALOM_DECRYPTION.rarшифровальщика , самый главный вопрос это базы данных 1С 8.3 в скуле, помогите если это возможно. Все нужные файлы в архиве , для удобства выкладываю логи FRST отдельно .
      FRST.txt
    • couzee
      Расшифровка файлов
      От couzee
      Добрый день. На файловом сервере зашифровало  .NESCHELKAIEBALOM.
      Помогите с расшифровкой.
    • Eaglex800
      Помогите расшифровать файлы.
      От Eaglex800
      Добрый день.
      Сегодня все файлы на компе оказались зашифрованными.
      К файлом добавилась запись
      NESCELKAIEBALOM
      при попытке открытия выходит:
      Помогите, пожалуйста.
    • Сергей Ведясов
      Шифольвальщик NESCHELKAIEBALOM
      От Сергей Ведясов
      Добрый день. Словили шифровальщика восстановили почти все кроме одной шары. нашли файлы его в двух местах. в одном они и сами пострадали от него во втором вроде все целые но сейчас под рукой нет чтоб отправить. удастся расшифровать  ? [ссылка]
×
×
  • Создать...