mimic/n3wwv43 ransomware Шифольвальщик NESCHELKAIEBALOM 040424-02

4 апреля, 2024

Добрый день! Высылаем результаты сканирования другого компа. Помогите пожалуйста с очисткой. Спасибо!

virus.rar Addition.txt FRST.txt

5 апреля, 2024

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

Google Toolbar for Internet Explorer

Кнопка "Яндекс" на панели задач

Следы бывшей установки Avast очистите с помощью этой утилиты, загрузив систему в безопасном режиме.

Далее в нормальном режиме:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Task: {0EB12BC0-869C-4441-BC2C-BCD8AE1D1E3D} - \CCleanerSkipUAC -> Нет файла <==== ВНИМАНИЕ
Task: {4441484D-EAB1-4D9B-8764-1348543FE2BE} - \Программа онлайн-обновления Adobe. -> Нет файла <==== ВНИМАНИЕ
Task: {539BB029-DDD8-458F-BBA2-9580A7BD5C7A} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe  (Нет файла)
Task: {D56A86BA-F35B-4260-B17F-936E41A49AA5} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2144664 2023-08-01] (Avast Software s.r.o. -> Avast Software)
Task: {3EC064C9-F1D4-49D3-B634-4FE135BEEE8F} - System32\Tasks\Java Update Scheduler => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe  (Нет файла)
C:\Users\ChernovAM_Black\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
R0 aswArDisk; C:\WINDOWS\System32\drivers\aswArDisk.sys [37320 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S3 aswArPot; C:\WINDOWS\System32\drivers\aswArPot.sys [209256 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S3 aswbidsdriver; C:\WINDOWS\System32\drivers\aswbidsdriver.sys [263224 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S3 aswbidsh; C:\WINDOWS\System32\drivers\aswbidsh.sys [206056 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S3 aswbuniv; C:\WINDOWS\System32\drivers\aswbuniv.sys [61688 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S1 aswHdsKe; C:\WINDOWS\System32\drivers\aswHdsKe.sys [279336 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [191]
AlternateDataStreams: C:\Users\ChernovAM_Black\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\ChernovAM_Black\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{38D3A17E-3723-4C33-AA90-CA0FC8AC3FC2}] => (Allow) LPort=1688
FirewallRules: [{5B0CF755-DADB-4CBC-A3E9-A3CA60525118}] => (Allow) LPort=54925
FirewallRules: [{61863AFB-9C59-410D-A863-3229468AE963}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{4CAD0E5B-601F-4900-9312-3E255A9F8EF2}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{DD79565E-A5FF-449B-967C-27DE298BB486}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{7390FD72-8B62-4E3A-97C6-F52AEFF16778}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{22ADCBAB-5DD7-4FE4-8F4F-0709BAC1A823}] => (Allow) LPort=33300
FirewallRules: [{F8EE0743-1145-4D6C-BA3C-7E6EC3419FB4}] => (Allow) LPort=3392
FirewallRules: [{14600537-2EF0-4AF2-928B-D8FC647CE687}] => (Allow) LPort=1688
FirewallRules: [{19AFADB9-BAB6-4011-B668-77E76CD7B706}] => (Allow) LPort=2456
FirewallRules: [{61D17DE2-2F71-438D-A692-1DC6AAFBE48B}] => (Allow) LPort=2457
FirewallRules: [{5052FED7-8531-4A7B-B96D-9FD412CB25CB}] => (Allow) LPort=2458
FirewallRules: [{CABB7926-8756-4019-8E02-5173181150CA}] => (Allow) LPort=2456
FirewallRules: [{C6E2945B-CCC8-4448-8DEC-04FC2B7161F2}] => (Allow) LPort=2456
FirewallRules: [{A25F1130-1934-4C3A-9A14-AFA0405ACB33}] => (Allow) LPort=2457
FirewallRules: [{1A32B738-3958-4FEC-A7EC-304C5BEA6902}] => (Allow) LPort=2458
FirewallRules: [{15383399-85DF-46FB-A030-304A8E2D9527}] => (Allow) LPort=48703
FirewallRules: [{2DF25D8C-1653-4D7B-B157-CEFAF8AC48CE}] => (Allow) LPort=5357
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

5 апреля, 2024

Огромное спасибо!

Fixlog.txt

6 апреля, 2024

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

mimic/n3wwv43 ransomware Шифольвальщик NESCHELKAIEBALOM 040424-02

Рекомендуемые сообщения

Сергей_KSN

Sandor

Сергей_KSN

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum