Перейти к содержанию

Шифровальщик PHILIP_KIRKOROV

i.molvinskih
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
HKLM\...\Run: [KIRKOROV.exe] => C:\Users\zazhivihin\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt [2082 2024-04-15] () [Файл не подписан]
HKU\S-1-5-21-1682545234-2459113795-792553799-500\...\Run: [BitTorrent Sync] => "C:\Users\Администратор\AppData\Roaming\BitTorrent Sync\BTSync.exe"  /MINIMIZED (Нет файла)
Task: {E0B5A966-968A-4A6A-B50B-B9E086CD5480} - System32\Tasks\BPMonline DomRu push Telegram => C:\inetpub\telegram\domru.vbs  (Нет файла)
Task: {96AECD8E-F240-448F-882E-D46F220922B9} - System32\Tasks\BPMonline push Telegram => C:\inetpub\telegram\push.vbs  (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [goalojoobcfkhddpbjcmhdceeegmaphh]
2024-04-14 17:46 - 2024-04-15 07:17 - 000000000 ____D C:\Users\zazhivihin\AppData\Roaming\Process Hacker
2024-04-14 17:43 - 2024-04-15 07:17 - 000002082 _____ C:\Users\zazhivihin\Desktop\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-14 17:43 - 2024-04-15 07:17 - 000002082 _____ C:\Users\zazhivihin\AppData\Local\PHILIP_KIRKOROV_DECRYPTION.txt
2024-04-14 17:42 - 2024-04-15 07:17 - 000002082 _____ C:\PHILIP_KIRKOROV_DECRYPTION.txt
HKU\S-1-5-21-1682545234-2459113795-792553799-1001\Software\Classes\exefile: "%1" %* <==== ВНИМАНИЕ
FirewallRules: [{B036F38D-97AC-4F10-A9B8-A47705CFC61E}] => (Allow) LPort=25422
FirewallRules: [{0D84582A-5BB9-49CA-B628-A75129F2DC5A}] => (Allow) LPort=254
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Программу Process Hacker деинсталлируйте, если не самостоятельно её ставили.

 

Пароли на учётные записи администраторов смените и уменьшите количество таких учёток.

К сожалению, расшифровки этого типа вымогателя нет.

  • Спасибо (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Скрипт отработал успешно, следы зачищены.

  • Спасибо (+1) 1
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Andrey25112025
      Trojan.Encoder
      Автор Andrey25112025
      Здравствуйте. Прошу рассмотреть возможность расшифровать базы 1С на коммерческой основе, файлы зашифрованы в октябре 2024г. Ниже ссылка на два зашифрованных файла. https://disk.yandex.ru/d/KvsLkCD2K-ttNg
      https://disk.yandex.ru/d/LeB1EqVX7NOGJA
       
    • МаксимБ
      BACHOKTECHET Шифровальщик
      Автор МаксимБ
      Шифровальщик парализовал работу сервера терминалов. В реестре нашел записи, удалил их сразу.
      notepad.exe "C:\Users\Administrator\AppData\Local\README_SOLVETHIS.txt"
      "C:\Users\Administrator\AppData\Local\194E1F27-9FC8-0395-4FCD-F9086C4C4FA6\BACHOKTECHET.exe" 
      Прошу помощи в расшифровке.
      virus.zip Addition.txt FRST.txt
    • Елена Окишева
      Касперский обнаружил вирус HEUR:Trojan.Script.NetSup.gen, зашифровавший все документы
      Автор Елена Окишева
      Результаты дополнительного сканирования Farbar Recovery Scan Tool (x64) Версия: 11-10-2025
       
      Сообщение от модератора thyrex Перенесено из раздела Компьютерная помощь
      HowToRestoreFiles.txt
    • CrazyBlack
      Поймал шифровальщик forumkasperskyclubru@msg.ws
      Автор CrazyBlack
      Поймал шифровальщик, зашифровал все базы данных 1с  с подписью forumkasperskyclubru@msg.ws , 1Cv8.1CD.id[14F9299A-3398].[datastore@cyberfear.com].Elbie.ID-13A55AA4-1122-forumkasperskyclubru@msg.ws. Прикрепляю архив с зашифрованным файлом, логи с FRST. Инструкцию вымогателя не нашел. Прошу помочь 
      virus.rar Addition_15-10-2025 15.26.45.txt FRST_15-10-2025 15.14.31.txt
    • alexeich
      Поймали шифровальщик Mimic/N3ww4v3
      Автор alexeich
      Помогите, аналогичная ситуация
       
      Сообщение от модератора mike 1 Часть сообщений вынесено в новую тему  
      FRST.txtAddition.txt
      MIMIC_LOG.txt
×
×
  • Создать...