Перейти к содержанию

Рекомендуемые сообщения

Так же столкнулся с этим шифровальщиком

могу скинуть файл до, файл после и текст из сообщения

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы.
Ссылка на сообщение
Поделиться на другие сайты

По очистке системы в FRST:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.


 

Start::

HKLM\...\Run: [KIRKOROV.exe] => C:\Users\Denis\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt [2082 2024-04-13] () [Файл не подписан]
HKLM\...\Policies\system: [legalnoticecaption]  
HKLM\...\Policies\system: [legalnoticetext] ￐゚￑タ￐ᄌ￐ᄇ￐ᄉ￑ツ￑チ￑ツ￐ᄇ￑テ￑ホ
IFEO\1cv8.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\1cv8c.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\1cv8s.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\agntsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\AutodeskDesktopApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\axlbridge.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bedbh.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\benetns.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\bengien.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\beserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\CoreSync.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Creative Cloud.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbeng50.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\dbsnmp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\encsvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\EnterpriseClient.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbguard.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fbserver.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\fdlauncher.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\httpd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\isqlplussvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\java.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msaccess.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\MsDtSrvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\msftesql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mspub.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopqos.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mydesktopservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-nt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld-opt.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mysqld.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\node.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocautoupds.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocomm.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\ocssd.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\oracle.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\pvlsvr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\python.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBDBMgrN.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBIDPService.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\qbupdate.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW32.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\QBW64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineElevatedCfg.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RaccineSettings.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Raccine_x86.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\RAgui.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\raw_agent_svc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SimplyConnectionManager.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqbcoreservice.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sql.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlagent.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlbrowser.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlmangr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlservr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sqlwriter.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Ssms.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\Sysmon64.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tbirdconfig.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tomcat6.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vsnapvss.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\vxmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wdswfsafe.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wpython.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsa_service.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wxServerView.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\xfssvccon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk [2024-01-23]
ShortcutTarget: AnyDesk.lnk -> C:\Program Files\AnyDesk\AnyDesk.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2024-04-13 01:42 - 2024-04-13 01:44 - 000002082 _____ C:\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-13 01:42 - 2024-04-13 01:42 - 000000000 ____D C:\Users\Denis\Documents\kirkorov
2024-04-13 17:08 - 2021-02-13 20:04 - 000000000 __SHD C:\Users\Denis\AppData\Local\4A8D41FF-19C4-5402-A81B-CAAC3A1500A9
HKU\S-1-5-21-220616150-1439287733-2850536281-1001\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ

End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Ссылка на сообщение
Поделиться на другие сайты

Связался с разработчиками этой дряни.

Имею три файла оригинальных, и три файла зашифрованных. Может ли это чем то помочь?

Ссылка на сообщение
Поделиться на другие сайты

Увы, для этого типа заражения пара зашифрованный-оригинальный ничем не поможет.

Ссылка на сообщение
Поделиться на другие сайты

На одном из серверов удалось выловить эту дрянь, с которой она запускается, при запуске вылезла ошибка, и эта зараза не отработала. В итоге имею на руках исполняемый файл, который все это творит

Если это поможет, то скажите куда закинуть и в каком виде

Ссылка на сообщение
Поделиться на другие сайты

Упакуйте в архив с паролем, залейте на файлообменник и ссылку на скачивание вместе с паролем сообщите личным сообщением мне или @safety

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Sandor сказал:

Упакуйте в архив с паролем, залейте на файлообменник и ссылку на скачивание вместе с паролем сообщите личным сообщением мне или @safety

Отправил Вам ссылку в личном сообщении

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Компьютер ночью был включен.
      Утром обнаружилось предупреждение о заражение и шифровании файлов. 
      В конце каждого файла добавилось 7dyedhqu59c
      Можете ли чем-нибудь помочь?
      Спасибо.
      FRST.txt Addition.txt files.zip
    • Автошкола
      От Автошкола
      Учреждение пострадало от атаки HONEYHORSELIKESMONEY
      Что делать, посоветуйте.
      Пострадали сервера WIN 2016 на которых установлен RSC и WIN 10 с установленным KESW.
      Все активировано, защита включена!
    • СергейБ.
      От СергейБ.
      Здравствуйте.
      Подвергся атаке вируса-шифровальщика honeycorselikesmoney.
      Вирус запустился, как я понял, после 00:00 после дня заражения. Видимо, по расписанию.
      Подскажите пожалуйста есть ли смысл пытаться чистить систему или только переустановка?
      Спасибо.
    • Andrey14
      От Andrey14
      Добрый день. Вышло сообщение, текст ниже. Первый раз столкнулся с такой ситуацией, можно его как то расшифровать? Важные данные лежат, 4 виртуалки (1С, SQL). Может кто сталкивался, или бесполезно и все пропало? Не хочется платить вымогателям (да и ценник думаю будет не маленький).
      ALL YOUR FILES HAVE BEEN ENCRYPTED DUE TO A SECURITY PROBLEM WITH YOUR PC.
      If you want to restore them :
      1) Send your unique id BDpfbw9XEVobf5oSbM6nFUhCuG-weNhoiV9cUfeLAzI*PISCOSTRUI and max 3 files for test decryption
      OUR CONTACTS:
      1.1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      1.2) ICQ Messenger
      ICQ live chat which works 24/7 - @PISCOSTRUI
      Install ICQ software on your PC here https://icq.com/windows/ or on your smartphone search for "ICQ" in Appstore / Google market
      Write to our ICQ @PISCOSTRUI https://icq.im/PISCOSTRUI
      1.3) Skype 
      PISCOSTRUI DECRYPTION
      1.4) Mail (write only in critical situations bcs your email may not be delivered or get in spam)
      * piscostrui@onionmail.org
      In subject line please write your decryption ID: BDpfbw9XEVobf5oSbM6nFUhCuG-weNhoiV9cUfeLAzI*PISCOSTRUI
      You have to pay for decryption in Bitcoins. The price depends on how fast you write to us.
      After payment we will send you the decryption tool that will decrypt all your files.
      FREE DECRYPTION AS A GUARANTEE!
      Before paying you can send us up to 5 files for free decryption. The total size of files must be less than 10Mb (non archived),
      and files should not contain valuable information. (databases, backups, large excel sheets, etc.)
      How to obtain Bitcoins:
      https://www.alfa.cash/buy-crypto-with-credit-card (the fastest way)
      buy.coingate.com
      https://bitcoin.org/en/buy
      https://buy.moonpay.io
      binance.com
      coinmama.com
    • Gaspar77
      От Gaspar77
      Добрый день.
      Поймал шифровальщика. Зашифрованы файлы на всех машинах что были в сети.
      Касперский Endpoint Security не помог. И сейчас файла вируса не находит.
      Помогите пожалуйста с расшифровкой.
      frst.rar Crypted.rar text.rar
×
×
  • Создать...