Перейти к содержанию

Рекомендуемые сообщения

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и завершит работу без перезагрузки.

 

Start::
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.txt [2024-05-01] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ReadMe.txt [2024-05-01] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Task: {617CA889-FE88-4B32-AB00-3153118C5207} - System32\Tasks\Microsoft\Windows\Task Manager\Task Manager => c:\Windows\taskmgr.exe [145408 2024-05-01] () [Файл не подписан]
2024-05-01 01:52 - 2024-05-01 01:52 - 000145408 _____ C:\Windows\taskmgr.exe
2024-05-01 01:52 - 2024-05-01 01:52 - 000000050 _____ C:\Windows\logg.bat
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-512146534-92328753-3916650505-1000\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-512146534-92328753-3916650505-1000\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-512146534-92328753-3916650505-1004\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-512146534-92328753-3916650505-1004\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-512146534-92328753-3916650505-500\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-512146534-92328753-3916650505-500\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{FBA73801-AE3D-40F1-BBA1-E4F28AEC74C9}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{DB39A553-7A70-4C7B-B7BF-68B47E63A632}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше новое сообщение.

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск, и дайте ссылку на скачивание в ЛС

Ссылка на сообщение
Поделиться на другие сайты

Возможно это было тело шифровальщика.

2024-05-01 01:52 - 2024-05-01 01:52 - 000145408 _____ C:\Windows\taskmgr.exe

 

Расшифровки по данному типу шифровальщика нет в настоящее время. Сохраните важные зашифрованные файлы. возможно в будущем расшифровка станет возможной.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Анна Тер
      От Анна Тер
      Добрый день! На комп залетел вирус шифровальщик .secles. В сети есть только описание https://id-ransomware.blogspot.com/2023/10/secles-ransomware.html?ysclid=lryyzaooui72010553&m=1 
       
      может кто сталкивался? Кто может помочь с дешифратором? 
    • Валерий1303
      От Валерий1303
      День добрый, сервер поймал шифровальщика. Все заблокировпно. Может кто расшифровать?


    • Priz
      От Priz
      Добрый день! Помогите расшифровать, пожалуйста.
      Новая папка.7z Addition.txt FRST.txt
    • Алексей_Т
      От Алексей_Т
      Добрый день.
      Пришёл и наш черёд зашифроваться... Основной рабочий ПК за ночь сумел зашифроваться, под шифровальщик попали даже файлы резервных копий Acronis которые он по идее должен был защищать с помощью ActiveProtection.
      В процессе или уже после шифрования ПК был перезагружен, что привело к тому что вирус зашифровал свой же ReadME.txt и рядом положил новый, прикладываю в архиве оба варианта.
      Расширение зашифрованных файлов: .id[QcS1mVYT].[t.me_secles1bot].secles
      Расположение шифровальщика C:\Users\Administrator\Pictures\
      так же в readme.txt указанно что не следует удалять папку C:\secles, папку с файлами прикладываю в архиве с вирусом.
      Ссылка на архив с логами FRST, вирусом, и файлами: https://disk.yandex.ru/d/Sqgg_nC0ulKtUw
       
      Заранее, спасибо.
       
      P.S. при помощи загрузочного образа был сделан снимок зараженной системы и развернут на изолированной виртуальной машине. Соответственно есть возможность достать и\или как-то экспериментировать неограниченное количество раз.
×
×
  • Создать...