proxima шифровальщик-вымогатель

[Бека-Алматы]

Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем

файл приложил 

ЛОГИ и файлы.zip

[thyrex]

Перечитайте правила и пришлите необхолимые логи, а не то, что Вам вздумалось.

[Бека-Алматы]

Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем

файл приложил 

ЛОГИ и файлы.zip Farbar Recovery Scan Tool ЛОГИ.zip

[safety]

Если систему сканировали уже антивирусом, сканерами Cureit или KVRT, добавьте, пожалуйста, логи сканирования. Лучше в архиве.

[Бека-Алматы]

Doctor Web.zip

[safety]

Cureit ничего не нашел, возможно шифровальщик самоудалился.

There are no infected objects detected

 

К сожалению, по данному типу шифровальщика не сможем вам помочь с расшифровкрй без приватного ключа.

 

по логу FRST:

уточните, пожалуйста, это легальные приложения в автозапуске?

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]

HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ

 

[Бека-Алматы]

нет

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]

HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ

 

подскажите что делать или есть варианты? у меня тут 1с база уствновлен 

[safety]

по очистке системы в FRST выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

 

Start::
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Downloads\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Documents\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Desktop\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\Roaming\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\LocalLow\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\Local\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Downloads\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Documents\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Desktop\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\Roaming\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\LocalLow\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\Local\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\ProgramData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files\Common Files\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files (x86)\README kasper.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

[safety]

winamp.exe, другое имя Elevator.exe -  банковский троян.

https://www.virustotal.com/gui/file/5d7639942a4e285ba985fbf6c9f34b7fdfc7ea7119921cbdebf8509dc6fa09a0/detection

ДрВеб его, к сожалению, не детектирует, потому и не нашелся троян при сканировании Cureit

Изменено 2 августа пользователем safety

[Бека-Алматы]

удалена ссылка

Изменено 2 августа пользователем safety

[safety]

45 минут назад, Бека-Алматы сказал:

удалена ссылка

на архив надо ставить пароль, так как в карантин попадают вредоносные объекты

переделайте архив, ссылку публиковать не здесь, а в личном сообщении.

Изменено 2 августа пользователем safety

[Бека-Алматы]

хорошо 

Только что, safety сказал:

на архив надо ставить пароль

переделайте архив, ссылку публиковать не здесь, а в личном сообщении.

хорошо

[safety]

выполните очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки.

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\PICTURES\STARTMENUEXPERIENCE.EXE
addsgn 1B57B465AAA680BEC718627DA804DEC9E946303A4536D3B4490F09709C1ABD80BFEB8BD6D2B59D492BC80DA3625EC08E59D7A0FB39FEA064A42B80378B8F4657 8 WinGo/Agent.QA 7

zoo %SystemDrive%\USERS\USER\PICTURES\WINAMP.EXE
addsgn 1B77B465AAA680BEC718627DA804DEC9E946303A4536D3B4490F09709C1ABD80BFEB8BD6D2B59D492BC80DA3625EC08E59D7A0FB39FEA064A42B80378B8F4657 8 WinGo/ClipBanker.BT [ESET-NOD32] 7

chklst
delvir

czoo
QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

архив CZOO****.7z из  папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено 2 августа пользователем safety