Перейти к содержанию

Рекомендуемые сообщения

Добрый день! Взломали компьютер из  вне, скорее всего подобрали пароль, удалили теневые копии и запустили шифровальщик.

Addition.txt FRST.txt vir.rar

Изменено пользователем Petyaxx
добавил файлы
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\...\Policies\system: [legalnoticecaption]  
    HKLM\...\Policies\system: [legalnoticetext] ￐゚￑タ￐ᄌ￐ᄇ￐ᄉ￑ツ￑チ￑ツ￐ᄇ￑テ￑ホ
    IFEO\1cv8.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\1cv8c.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\1cv8s.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\agntsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\AutodeskDesktopApp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\axlbridge.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\bedbh.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\benetns.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\bengien.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\beserver.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\CoreSync.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Creative Cloud.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\dbeng50.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\dbsnmp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\encsvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\EnterpriseClient.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fbguard.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fbserver.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fdhost.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\fdlauncher.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\httpd.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\isqlplussvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\java.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\msaccess.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\MsDtSrvr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\msftesql.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mspub.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mydesktopqos.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mydesktopservice.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld-nt.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld-opt.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\mysqld.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\node.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocautoupds.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocomm.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\ocssd.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\oracle.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\pvlsvr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\python.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBDBMgr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBDBMgrN.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBIDPService.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\qbupdate.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBW32.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\QBW64.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Raccine.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RaccineElevatedCfg.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RaccineSettings.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Raccine_x86.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\RAgui.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\raw_agent_svc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\SimplyConnectionManager.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqbcoreservice.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sql.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlagent.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlbrowser.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlmangr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlservr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\sqlwriter.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Ssms.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Sysmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\Sysmon64.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tbirdconfig.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\tomcat6.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\vsnapvss.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\vxmon.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wdswfsafe.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wpython.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wsa_service.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wxServer.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\wxServerView.exe: [Debugger] C:\Windows\System32\Systray.exe
    IFEO\xfssvccon.exe: [Debugger] C:\Windows\System32\Systray.exe
    2024-04-05 01:12 - 2024-04-05 01:12 - 000002085 _____ C:\Users\Администратор.FER\Desktop\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
    2024-04-05 01:10 - 2024-04-05 01:12 - 000002085 _____ C:\Users\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
    2024-04-04 19:43 - 2024-04-04 20:33 - 000000000 ____D C:\Users\Администратор.FER\AppData\Roaming\Process Hacker
    2024-04-04 19:42 - 2024-04-05 01:12 - 000002085 _____ C:\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
    2024-04-04 19:42 - 2024-04-05 01:07 - 000002085 _____ C:\Users\Администратор.FER\AppData\Local\CHITAI_MENYA_NE_STOIT_ZHDAT_I_SCHELKAT_EBALOM.txt
    2024-04-04 19:38 - 2024-04-04 20:33 - 000000000 ____D C:\Program Files\Process Hacker
    2024-04-05 01:12 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\Администратор.FER\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
    HKU\S-1-5-21-343818398-73586283-725345543-500\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
36 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Прикрепите, пожалуйста, после выполнения.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо.

Пароли администраторов смените, скорее всего были взломаны.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Компьютер ночью был включен.
      Утром обнаружилось предупреждение о заражение и шифровании файлов. 
      В конце каждого файла добавилось 7dyedhqu59c
      Можете ли чем-нибудь помочь?
      Спасибо.
      FRST.txt Addition.txt files.zip
    • Автошкола
      От Автошкола
      Учреждение пострадало от атаки HONEYHORSELIKESMONEY
      Что делать, посоветуйте.
      Пострадали сервера WIN 2016 на которых установлен RSC и WIN 10 с установленным KESW.
      Все активировано, защита включена!
    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Подвергся атаке вируса-шифровальщика honeycorselikesmoney.
      Вирус запустился, как я понял, после 00:00 после дня заражения. Видимо, по расписанию.
      Подскажите пожалуйста есть ли смысл пытаться чистить систему или только переустановка?
      Спасибо.
    • Andrey14
      От Andrey14
      Добрый день. Вышло сообщение, текст ниже. Первый раз столкнулся с такой ситуацией, можно его как то расшифровать? Важные данные лежат, 4 виртуалки (1С, SQL). Может кто сталкивался, или бесполезно и все пропало? Не хочется платить вымогателям (да и ценник думаю будет не маленький).
      ALL YOUR FILES HAVE BEEN ENCRYPTED DUE TO A SECURITY PROBLEM WITH YOUR PC.
      If you want to restore them :
      1) Send your unique id BDpfbw9XEVobf5oSbM6nFUhCuG-weNhoiV9cUfeLAzI*PISCOSTRUI and max 3 files for test decryption
      OUR CONTACTS:
      1.1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      1.2) ICQ Messenger
      ICQ live chat which works 24/7 - @PISCOSTRUI
      Install ICQ software on your PC here https://icq.com/windows/ or on your smartphone search for "ICQ" in Appstore / Google market
      Write to our ICQ @PISCOSTRUI https://icq.im/PISCOSTRUI
      1.3) Skype 
      PISCOSTRUI DECRYPTION
      1.4) Mail (write only in critical situations bcs your email may not be delivered or get in spam)
      * piscostrui@onionmail.org
      In subject line please write your decryption ID: BDpfbw9XEVobf5oSbM6nFUhCuG-weNhoiV9cUfeLAzI*PISCOSTRUI
      You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
      After payment we will send you the decryption tool that will decrypt all your files.
      FREE DECRYPTION AS A GUARANTEE!
      Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived),
      and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
      How to obtain Bitcoins:
      https://www.alfa.cash/buy-crypto-with-credit-card (the fastest way)
      buy.coingate.com
      https://bitcoin.org/en/buy
      https://buy.moonpay.io
      binance.com
      coinmama.com
    • Gaspar77
      От Gaspar77
      Добрый день.
      Поймал шифровальщика. Зашифрованы файлы на всех машинах что были в сети.
      Касперский Endpoint Security не помог. И сейчас файла вируса не находит.
      Помогите пожалуйста с расшифровкой.
      frst.rar Crypted.rar text.rar
×
×
  • Создать...