Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик оставил открытую программу шифрования

Daubarg
 Поделиться

Рекомендуемые сообщения

Daubarg Новичок

Daubarg

Опубликовано
Опубликовано

Добрый день. Запустили шифровальщик, есть подозрение, что злонамеренно и кто-то из своих

Есть способ получить ключ, если осталась папка и доступ к программе шифрования?

Screenshot_2 (1).png

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

папку добавьте в архив с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС (личные собщения)

по теме:

добавьте все необходимые логи и файлы согласно правилам.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу с перезагрузкой системы

  

Start::
() [Файл не подписан] C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\NESCHELKAIEBALOM.exe <4>
(C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\NESCHELKAIEBALOM.exe ->) () [Файл не подписан] C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\gui40.exe
(C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\NESCHELKAIEBALOM.exe ->) (voidtools -> voidtools) C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\Everything.exe
HKLM\...\Run: [NESCHELKAIEBALOM] => C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E\NESCHELKAIEBALOM.exe [2494464 2023-03-23] () [Файл не подписан]
IFEO\1cv8.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-879808309-3615634800-999139866-2606\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {F6320834-0D75-4898-A46E-D0B369DC8197} - System32\Tasks\{382206AF-3B40-4179-A5AB-6282A401826A} => C:\Users\nekrasov.yv\AppData\Local\Temp\0022BEB3-27D6-4BC1-BA20-1551EAD85D2E\ga_service.exe  /uninstall (Нет файла) <==== ВНИМАНИЕ
2024-04-09 13:12 - 2021-12-05 03:29 - 000000000 __SHD C:\Users\zadm\AppData\Local\9A72EF00-8444-52D7-C2DA-419249B4BE2E
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

+

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • MiStr
      Результаты участников программы «Амбассадоры бренда Kaspersky»
      Автор MiStr
      Результаты участников программы:
       
      2018 год
       
      2019 год
       
      2020 год
       
      2021 год

      2022 год

      2023 год

      2024 год

      2025 год
    • MiStr
      Обсуждение программы «Амбассадоры бренда Kaspersky»
      Автор MiStr
      Здесь можно задать вопросы по программе "Амбассадоры бренда ЛК".
    • MiStr
      Программа «Консультант по продуктам»: помогай и получай вознаграждение!
      Автор MiStr
      Знаешь о продуктах «Лаборатории Касперского» всё и даже больше? Любишь помогать и быть полезным? Не можешь пройти мимо, когда у кого-то из знакомых и не очень людей возникают проблемы с компьютером или телефоном? Желаешь приобрести новые знания и опыт? Не веришь, что можно совместить полезное (оказание помощи) с приятным (получение вознаграждения)? Тогда это для тебя!
      «Лаборатория Касперского» приглашает к участию в программе поддержки пользователей продуктов компании во Всемирной Паутине «Консультант по продуктам»!
       
      Суть программы
      Задачей программы является консультация и оказание помощи по продуктам «Лаборатории Касперского» на обширных просторах не только Рунета, но и ресурсах на любом языке – социальные сети, сайты, форумы, блоги, сервисы типа «Вопрос-Ответ» и другие общедоступные площадки, на которых пользователям персональных и корпоративных продуктов и сервисов «Лаборатории Касперского» требуется консультация или помощь. Исключениями являются все ресурсы, принадлежащие «Лаборатории Касперского» (включая официальный форум, форум клуба), и официальные сообщества компании и Службы технической поддержки в социальных сетях.
       
      Кто может участвовать в программе
      Участниками программы могут стать участники клуба (т. е. зарегистрированные на forum.kasperskyclub.ru или kasperskyclub.com), за исключением пользователей групп «Новички» и «Участники». Каждый участник программы обязан пройти испытательный период сроком до 3 месяцев, после чего успешно сдать тест и получить сертификат, дающий право дальнейшего участия в программе.
       
      По каким продуктам помогать
      В программе участвуют все персональные и корпоративные продукты и сервисы «Лаборатории Касперского», которые опубликованы на официальном сайте компании www.kaspersky.ru (www.kaspersky.com), включая бесплатные и для мобильных устройств!
       
      Вознаграждение
      За консультации и успешно решённые проблемы (далее – кейсы) участники программы получают баллы.
      В «зачёт» идут только кейсы, связанные исключительно с техническими аспектами работы персональных и корпоративных продуктов и сервисов «Лаборатории Касперского». Под «техническими» понимаются кейсы, связанные с невозможностью обновления баз, установкой продукта, консультации по вопросам работы тех или иных функций, ошибки в работе продукта и т. п. В «зачёт» не идут нетехнические кейсы, коими являются вопросы и проблемы, связанные с ценообразованием, выбором и приобретением продуктов, нюансами участия в различных акциях, проводимых «Лабораторией Касперского», и т. п.
      За полученные баллы участник вправе выбрать любое вознаграждение на свой вкус. Список вознаграждений, размещённый в специальном закрытом разделе форума для участников программы, будет постоянно пополняться!
       
      Где узнать подробности и как принять участие в программе
      Вторая часть правил с более подробной информацией о программе, в том числе об уровнях участия в ней, размещена в специальном закрытом разделе форума, доступном только для участников программы. Разглашение информации из специального закрытого раздела запрещено.
      Для участия в программе необходимо оставить заявку в произвольной форме в этой теме. Пользователю может быть отказано в удовлетворении заявки без объяснения причин.
      В данной теме не допускаются любые обсуждения. Сообщения, не относящиеся к заявкам, будут удалены. Все уточняющие вопросы по программе можно задать в соседней теме.
    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
×
×
  • Создать...