Перейти к содержанию

Рекомендуемые сообщения

Шифровальщик до сих пор активен.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
If you want to restore them, write us to the e-mail: Decrypt.rz@zohomail.com
Write this ID in the title of your message: 98CFB1C7
In case of no answer in 24 hours write us to this e-mail: Decrypt.rz@zohomail.com
HKU\S-1-5-21-3151754468-174582957-590601683-5618\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-07-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {06D18366-4EC1-49EC-9A86-28F890D3FAB1} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\wgp01hvm.exe
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\kusxnlbl.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\w4z3fl4v.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\degz1c1k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\trjkt4hu.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\rvxx1u3k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\fuotdm03.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-22 09:04 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-20 08:23 - 2024-07-20 08:23 - 000110592 ___SH C:\ProgramData\bmnigjop.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Users\vda\AppData\Roaming\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\ProgramData\winlogon.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты

2 часа назад, thyrex сказал:

Шифровальщик до сих пор активен.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)


Start::
CreateRestorePoint:
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
If you want to restore them, write us to the e-mail: Decrypt.rz@zohomail.com
Write this ID in the title of your message: 98CFB1C7
In case of no answer in 24 hours write us to this e-mail: Decrypt.rz@zohomail.com
HKU\S-1-5-21-3151754468-174582957-590601683-5618\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Policies\system: [DisableTaskMgr] 1
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\vda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2024-07-22] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2024-02-12] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Task: {06D18366-4EC1-49EC-9A86-28F890D3FAB1} - System32\Tasks\BlackBit => C:\Windows\system32\config\systemprofile\AppData\Roaming\winlogon.exe  (Нет файла) <==== ВНИМАНИЕ
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\wgp01hvm.exe
2024-07-22 16:12 - 2024-07-22 16:12 - 000110592 ___SH C:\ProgramData\kusxnlbl.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\w4z3fl4v.exe
2024-07-22 09:29 - 2024-07-22 09:29 - 000110592 ___SH C:\ProgramData\degz1c1k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\trjkt4hu.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\rvxx1u3k.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000110592 ___SH C:\ProgramData\fuotdm03.exe
2024-07-22 09:04 - 2024-07-22 09:04 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
2024-07-22 09:04 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\SysWOW64\winlogon.exe
2024-07-20 08:23 - 2024-07-20 08:23 - 000110592 ___SH C:\ProgramData\bmnigjop.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Windows\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\Users\vda\AppData\Roaming\winlogon.exe
2024-07-20 08:23 - 2024-02-12 22:23 - 000556544 ___SH (Microsoft) C:\ProgramData\winlogon.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

 

Fixlog.txt

 

Fixlog.txtЛоги второго виртуального сервера

Ссылка на комментарий
Поделиться на другие сайты

Сервера виртуальные, созданные на базе гипервизора vmvare. Серверов всего три windows server 2019 64b, windows server 2012 64b и windows server 2003 32b. Windows server 2003 не понимает этот скрипт. Может ли поддержка Kaspersky помочь обладателям лицензии?

Ссылка на комментарий
Поделиться на другие сайты

Да, пытался, именно на windows server 2003 не увенчалось успехом. Использовал обе версии данной программы(32b, 64b) Farbar Recovery Scan Tool На остальных серверах лечение произошло успешно. Есть ли возможность расшифровать файлы?

12 часов назад, thyrex сказал:

Вы пытались выполнить скрипт лечения на другом сервере? Я правильно понял?

 

Ссылка на комментарий
Поделиться на другие сайты

Скрипты лечения пишутся индивидуально под каждую машину на основании логов с этой машины.

На windows server 2003 Farbar не работает.

 

30 минут назад, Gupecology сказал:

Есть ли возможность расшифровать файлы?

К сожалению, нет.

Ссылка на комментарий
Поделиться на другие сайты

Можете пожалуйста написать скрипт для windows server 2003? Логи прилагаю

 

FRST.txtAddition.txtПрошу прощения, очень активный шифратор.

Изменено пользователем Gupecology
Ссылка на комментарий
Поделиться на другие сайты

32 минуты назад, Gupecology сказал:

Можете пожалуйста написать скрипт для windows server 2003?

я же написал, что на такой системе Farbar не запустится. На нем соберите логи CollectionLog по этим правилам.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
2024-07-23 10:45 - 2024-07-23 10:45 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\3wwvzus1.exe
2024-07-23 10:31 - 2024-07-23 10:31 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\gxt5ihe2.exe
2024-07-23 10:18 - 2024-07-23 10:18 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\w4v224ps.exe
2024-07-23 10:18 - 2024-02-12 22:23 - 000734174 ___SH (Microsoft) C:\WINDOWS\winlogon.exe
2024-07-22 18:47 - 2024-07-22 18:47 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\emwjxkbw.exe
2024-07-22 18:36 - 2024-07-22 18:36 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\dxdj5ehc.exe
2024-07-22 09:18 - 2024-07-22 09:18 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\wnqq0zff.exe
2024-07-22 08:51 - 2024-07-22 08:51 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\5qrxd0no.exe
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\vda\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Мои документы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Главное меню\Программы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Главное меню\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Local Settings\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\sql_launch\Application Data\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Рабочий стол\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Главное меню\Программы\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Главное меню\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Restore-My-Files.txt
2024-07-20 09:00 - 2024-07-20 09:00 - 000000392 _____ C:\Documents and Settings\All Users\Application Data\Restore-My-Files.txt
2024-07-20 08:59 - 2024-07-23 10:47 - 000005926 _____ C:\Documents and Settings\All Users\Application Data\info.BlackBit
2024-07-20 08:59 - 2024-07-20 08:59 - 000110592 ___SH C:\Documents and Settings\All Users\Application Data\tztisyp4.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 ___SH (Microsoft) C:\Documents and Settings\vda\Application Data\winlogon.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 ___SH (Microsoft) C:\Documents and Settings\All Users\Application Data\winlogon.exe
2024-07-20 08:59 - 2024-02-12 22:23 - 000734166 _____ (Microsoft) C:\Documents and Settings\vda\Рабочий стол\Decrypt.rz@zohomail.com.exe
HKLM\...\Policies\system: [legalnoticecaption] Encrypted by BlackBit
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your computer
Startup: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\Restore-My-Files.txt [2024-07-20] () [File not signed]
Startup: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\winlogon.exe [2024-02-12] (Microsoft) [File not signed] <==== ATTENTION
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.
Ссылка на комментарий
Поделиться на другие сайты

Скрытые файлы

Цитата

2024-07-23 15:38:43 ----SH---- C:\WINDOWS\winlogon.exe
2024-07-23 15:38:43 ----SH---- C:\Documents and Settings\All Users\Application Data\winlogon.exe
2024-07-23 15:38:37 ----SH---- C:\Documents and Settings\vda\Application Data\winlogon.exe
2024-07-23 15:00:26 ----SH---- C:\Documents and Settings\All Users\Application Data\fc4nb03c.exe

удалите вручную

 

Затем запустите AVZ, выберите Файл - Мастер поиска и устранения проблем - Все проблемы.

Отметьте и исправьте проблему Задано сообщение, выводимое в ходе загрузки.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • composer1995
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...