mimic/n3wwv43 ransomware Шифольвальщик NESCHELKAIEBALOM 040424-02

[Сергей_KSN]

Добрый день! Высылаем результаты сканирования другого компа. Помогите пожалуйста с очисткой. Спасибо!  

virus.rar Addition.txt FRST.txt

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Google Toolbar for Internet Explorer

Кнопка "Яндекс" на панели задач

 

 

Следы бывшей установки Avast очистите с помощью этой утилиты, загрузив систему в безопасном режиме.

 

Далее в нормальном режиме:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {0EB12BC0-869C-4441-BC2C-BCD8AE1D1E3D} - \CCleanerSkipUAC -> Нет файла <==== ВНИМАНИЕ
  Task: {4441484D-EAB1-4D9B-8764-1348543FE2BE} - \Программа онлайн-обновления Adobe. -> Нет файла <==== ВНИМАНИЕ
  Task: {539BB029-DDD8-458F-BBA2-9580A7BD5C7A} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe  (Нет файла)
  Task: {D56A86BA-F35B-4260-B17F-936E41A49AA5} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2144664 2023-08-01] (Avast Software s.r.o. -> Avast Software)
  Task: {3EC064C9-F1D4-49D3-B634-4FE135BEEE8F} - System32\Tasks\Java Update Scheduler => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe  (Нет файла)
  C:\Users\ChernovAM_Black\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
  C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
  C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
  CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
  R0 aswArDisk; C:\WINDOWS\System32\drivers\aswArDisk.sys [37320 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
  S3 aswArPot; C:\WINDOWS\System32\drivers\aswArPot.sys [209256 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
  S3 aswbidsdriver; C:\WINDOWS\System32\drivers\aswbidsdriver.sys [263224 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
  S3 aswbidsh; C:\WINDOWS\System32\drivers\aswbidsh.sys [206056 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
  S3 aswbuniv; C:\WINDOWS\System32\drivers\aswbuniv.sys [61688 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
  S1 aswHdsKe; C:\WINDOWS\System32\drivers\aswHdsKe.sys [279336 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
  AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
  AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [191]
  AlternateDataStreams: C:\Users\ChernovAM_Black\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\ChernovAM_Black\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{38D3A17E-3723-4C33-AA90-CA0FC8AC3FC2}] => (Allow) LPort=1688
  FirewallRules: [{5B0CF755-DADB-4CBC-A3E9-A3CA60525118}] => (Allow) LPort=54925
  FirewallRules: [{61863AFB-9C59-410D-A863-3229468AE963}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{4CAD0E5B-601F-4900-9312-3E255A9F8EF2}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{DD79565E-A5FF-449B-967C-27DE298BB486}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{7390FD72-8B62-4E3A-97C6-F52AEFF16778}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{22ADCBAB-5DD7-4FE4-8F4F-0709BAC1A823}] => (Allow) LPort=33300
  FirewallRules: [{F8EE0743-1145-4D6C-BA3C-7E6EC3419FB4}] => (Allow) LPort=3392
  FirewallRules: [{14600537-2EF0-4AF2-928B-D8FC647CE687}] => (Allow) LPort=1688
  FirewallRules: [{19AFADB9-BAB6-4011-B668-77E76CD7B706}] => (Allow) LPort=2456
  FirewallRules: [{61D17DE2-2F71-438D-A692-1DC6AAFBE48B}] => (Allow) LPort=2457
  FirewallRules: [{5052FED7-8531-4A7B-B96D-9FD412CB25CB}] => (Allow) LPort=2458
  FirewallRules: [{CABB7926-8756-4019-8E02-5173181150CA}] => (Allow) LPort=2456
  FirewallRules: [{C6E2945B-CCC8-4448-8DEC-04FC2B7161F2}] => (Allow) LPort=2456
  FirewallRules: [{A25F1130-1934-4C3A-9A14-AFA0405ACB33}] => (Allow) LPort=2457
  FirewallRules: [{1A32B738-3958-4FEC-A7EC-304C5BEA6902}] => (Allow) LPort=2458
  FirewallRules: [{15383399-85DF-46FB-A030-304A8E2D9527}] => (Allow) LPort=48703
  FirewallRules: [{2DF25D8C-1653-4D7B-B157-CEFAF8AC48CE}] => (Allow) LPort=5357
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Сергей_KSN]

Огромное спасибо!

Fixlog.txt

[Sandor]

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.