Перейти к содержанию

Шифольвальщик NESCHELKAIEBALOM 040424-02

Сергей_KSN
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Google Toolbar for Internet Explorer

Кнопка "Яндекс" на панели задач

 

 

Следы бывшей установки Avast очистите с помощью этой утилиты, загрузив систему в безопасном режиме.

 

Далее в нормальном режиме:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Task: {0EB12BC0-869C-4441-BC2C-BCD8AE1D1E3D} - \CCleanerSkipUAC -> Нет файла <==== ВНИМАНИЕ
Task: {4441484D-EAB1-4D9B-8764-1348543FE2BE} - \Программа онлайн-обновления Adobe. -> Нет файла <==== ВНИМАНИЕ
Task: {539BB029-DDD8-458F-BBA2-9580A7BD5C7A} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe  (Нет файла)
Task: {D56A86BA-F35B-4260-B17F-936E41A49AA5} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2144664 2023-08-01] (Avast Software s.r.o. -> Avast Software)
Task: {3EC064C9-F1D4-49D3-B634-4FE135BEEE8F} - System32\Tasks\Java Update Scheduler => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe  (Нет файла)
C:\Users\ChernovAM_Black\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdfonankhfnhihdcpaagpabbaoclnjfp
C:\Users\ChernovAM_Black\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
R0 aswArDisk; C:\WINDOWS\System32\drivers\aswArDisk.sys [37320 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S3 aswArPot; C:\WINDOWS\System32\drivers\aswArPot.sys [209256 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S3 aswbidsdriver; C:\WINDOWS\System32\drivers\aswbidsdriver.sys [263224 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S3 aswbidsh; C:\WINDOWS\System32\drivers\aswbidsh.sys [206056 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S3 aswbuniv; C:\WINDOWS\System32\drivers\aswbuniv.sys [61688 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
S1 aswHdsKe; C:\WINDOWS\System32\drivers\aswHdsKe.sys [279336 2019-06-27] (AVAST Software s.r.o. -> AVAST Software)
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [152]
AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [191]
AlternateDataStreams: C:\Users\ChernovAM_Black\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\ChernovAM_Black\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{38D3A17E-3723-4C33-AA90-CA0FC8AC3FC2}] => (Allow) LPort=1688
FirewallRules: [{5B0CF755-DADB-4CBC-A3E9-A3CA60525118}] => (Allow) LPort=54925
FirewallRules: [{61863AFB-9C59-410D-A863-3229468AE963}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{4CAD0E5B-601F-4900-9312-3E255A9F8EF2}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{DD79565E-A5FF-449B-967C-27DE298BB486}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{7390FD72-8B62-4E3A-97C6-F52AEFF16778}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{22ADCBAB-5DD7-4FE4-8F4F-0709BAC1A823}] => (Allow) LPort=33300
FirewallRules: [{F8EE0743-1145-4D6C-BA3C-7E6EC3419FB4}] => (Allow) LPort=3392
FirewallRules: [{14600537-2EF0-4AF2-928B-D8FC647CE687}] => (Allow) LPort=1688
FirewallRules: [{19AFADB9-BAB6-4011-B668-77E76CD7B706}] => (Allow) LPort=2456
FirewallRules: [{61D17DE2-2F71-438D-A692-1DC6AAFBE48B}] => (Allow) LPort=2457
FirewallRules: [{5052FED7-8531-4A7B-B96D-9FD412CB25CB}] => (Allow) LPort=2458
FirewallRules: [{CABB7926-8756-4019-8E02-5173181150CA}] => (Allow) LPort=2456
FirewallRules: [{C6E2945B-CCC8-4448-8DEC-04FC2B7161F2}] => (Allow) LPort=2456
FirewallRules: [{A25F1130-1934-4C3A-9A14-AFA0405ACB33}] => (Allow) LPort=2457
FirewallRules: [{1A32B738-3958-4FEC-A7EC-304C5BEA6902}] => (Allow) LPort=2458
FirewallRules: [{15383399-85DF-46FB-A030-304A8E2D9527}] => (Allow) LPort=48703
FirewallRules: [{2DF25D8C-1653-4D7B-B157-CEFAF8AC48CE}] => (Allow) LPort=5357
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • alexeich
      Поймали шифровальщик Mimic/N3ww4v3
      Автор alexeich
      Помогите, аналогичная ситуация
       
      Сообщение от модератора mike 1 Часть сообщений вынесено в новую тему  
      FRST.txtAddition.txt
      MIMIC_LOG.txt
    • Steelot
      Шифровальщик mimic
      Автор Steelot
      Поймали шифровальщик mimic закриптовались базы 1с даже в архиве, есть ли хоть какой то шанс что то восстановить?
      FRST.txt
    • олег тод
      Данные зашифрованы UVE. Просят деньги за расшифровку. Прошу помощи
      Автор олег тод
      В ночь с 08 на 09 октября на компьютере с операционной системой Windows 10 все файлы были зашифрованы.
      При открытии любого из них, открывается "Decrypt_UVE - Блокнот" с текстом:
      "Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by UVE
      Your decryption ID is ****
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - cristi@mailum.com
      2) Telegram - @cristi025 or https://t.me/cristi025
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Подскажите, пожалуйста, возможно ли расшифровать файлы?
      И как купировать заразу на своих компьютерах
      shifrovka.7z cureit.log FRST.txt
    • sashakrug
      Шифровальщик zimmer 1488
      Автор sashakrug
      Здравствуйте!
      ПОдцепили на сервер шифровальщик zimmer. Зашифровал 1С, Альту ГТД и много других файлов. Есть решение данной проблеме?
    • tr3ton51
      Шифровальщик поработал над компьютером бухгалтера
      Автор tr3ton51
      Добрый день, сегодня поймали шифровальщик вот с таким содержимым,
       
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your decryption ID is ****gk*WWWWW-***gk
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - victor_ia@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      возможно ли спасти данные? прикрепил зашифрованные картинки
      How-to-decrypt.txt картинки.zip
×
×
  • Создать...