Перейти к содержанию

Шифольвальщик NESCHELKAIEBALOM 040424-02


Рекомендуемые сообщения

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Google Toolbar for Internet Explorer

Кнопка "Яндекс" на панели задач

 

 

Следы бывшей установки Avast очистите с помощью этой утилиты, загрузив систему в безопасном режиме.

 

Далее в нормальном режиме:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {0EB12BC0-869C-4441-BC2C-BCD8AE1D1E3D} - \CCleanerSkipUAC -> Нет файла <==== ВНИМАНИЕ
    Task: {4441484D-EAB1-4D9B-8764-1348543FE2BE} - \Программа онлайн-обновления Adobe. -> Нет файла <==== ВНИМАНИЕ
    Task: {539BB029-DDD8-458F-BBA2-9580A7BD5C7A} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe  (Нет файла)
    Task: {D56A86BA-F35B-4260-B17F-936E41A49AA5} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2144664 2023-08-01] (Avast Software s.r.o. -> Avast Software)
    Task: {3EC064C9-F1D4-49D3-B634-4FE135BEEE8F} - System32\Tasks\Java Update Scheduler => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe  (Нет файла)
    C:\Users\ChernovAM_Black\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
    C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
    C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
    CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
    R0 aswArDisk; C:\WINDOWS\System32\drivers\aswArDisk.sys [37320 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S3 aswArPot; C:\WINDOWS\System32\drivers\aswArPot.sys [209256 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S3 aswbidsdriver; C:\WINDOWS\System32\drivers\aswbidsdriver.sys [263224 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S3 aswbidsh; C:\WINDOWS\System32\drivers\aswbidsh.sys [206056 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S3 aswbuniv; C:\WINDOWS\System32\drivers\aswbuniv.sys [61688 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    S1 aswHdsKe; C:\WINDOWS\System32\drivers\aswHdsKe.sys [279336 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
    AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [191]
    AlternateDataStreams: C:\Users\ChernovAM_Black\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\ChernovAM_Black\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{38D3A17E-3723-4C33-AA90-CA0FC8AC3FC2}] => (Allow) LPort=1688
    FirewallRules: [{5B0CF755-DADB-4CBC-A3E9-A3CA60525118}] => (Allow) LPort=54925
    FirewallRules: [{61863AFB-9C59-410D-A863-3229468AE963}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{4CAD0E5B-601F-4900-9312-3E255A9F8EF2}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{DD79565E-A5FF-449B-967C-27DE298BB486}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{7390FD72-8B62-4E3A-97C6-F52AEFF16778}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
    FirewallRules: [{22ADCBAB-5DD7-4FE4-8F4F-0709BAC1A823}] => (Allow) LPort=33300
    FirewallRules: [{F8EE0743-1145-4D6C-BA3C-7E6EC3419FB4}] => (Allow) LPort=3392
    FirewallRules: [{14600537-2EF0-4AF2-928B-D8FC647CE687}] => (Allow) LPort=1688
    FirewallRules: [{19AFADB9-BAB6-4011-B668-77E76CD7B706}] => (Allow) LPort=2456
    FirewallRules: [{61D17DE2-2F71-438D-A692-1DC6AAFBE48B}] => (Allow) LPort=2457
    FirewallRules: [{5052FED7-8531-4A7B-B96D-9FD412CB25CB}] => (Allow) LPort=2458
    FirewallRules: [{CABB7926-8756-4019-8E02-5173181150CA}] => (Allow) LPort=2456
    FirewallRules: [{C6E2945B-CCC8-4448-8DEC-04FC2B7161F2}] => (Allow) LPort=2456
    FirewallRules: [{A25F1130-1934-4C3A-9A14-AFA0405ACB33}] => (Allow) LPort=2457
    FirewallRules: [{1A32B738-3958-4FEC-A7EC-304C5BEA6902}] => (Allow) LPort=2458
    FirewallRules: [{15383399-85DF-46FB-A030-304A8E2D9527}] => (Allow) LPort=48703
    FirewallRules: [{2DF25D8C-1653-4D7B-B157-CEFAF8AC48CE}] => (Allow) LPort=5357
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • UserKasper
      От UserKasper
      Подключились к серверу под админом и зашифровали файлы, прошу помочь расшифровать.
      temp.zip FRST.txt Addition.txt
    • meps85
      От meps85
      Добрый день! поймал вирус-вымогатель NESCELKAIEBALOM
      лог FRST прилагаю.
      Сможете помочь с удалением? 
       
      FRST_08_04_2024.txt
    • Petyaxx
      От Petyaxx
      Добрый день! Взломали компьютер из  вне, скорее всего подобрали пароль, удалили теневые копии и запустили шифровальщик.
      Addition.txt FRST.txt vir.rar
    • davnms
      От davnms
      Файл заразил компы.
      Прошу прислать дешифровку.
       
      Addition.txt FRST.txt virus.rar
       
    • Bionichead
      От Bionichead
      Добрый день. Прошу оказать помощь и содействие. Обнаружен Mimikatz.
      Различными утилитами антивирусными почистил систему от троянов, но файлы остались с расширением  "NESCHELKAIEBALOM".
      Addition.txt FRST.txt Shortcut.txt virus.zip
×
×
  • Создать...