Перейти к содержанию

шифровальщик-вымогатель

Бека-Алматы
 Share Подписчики 1

Рекомендуемые сообщения

Бека-Алматы

Бека-Алматы 0

Опубликовано
Опубликовано

Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем

файл приложил 

ЛОГИ и файлы.zip

Ссылка на сообщение
Поделиться на другие сайты
Бека-Алматы

Бека-Алматы 0

Опубликовано
  • Автор
Опубликовано

Добрый день! после открытия порта на роутере, компьютер  зашифровался вирусом , прошу помощи с решение проблем

файл приложил 

ЛОГИ и файлы.zip Farbar Recovery Scan Tool ЛОГИ.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

Если систему сканировали уже антивирусом, сканерами Cureit или KVRT, добавьте, пожалуйста, логи сканирования. Лучше в архиве.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

Cureit ничего не нашел, возможно шифровальщик самоудалился.

There are no infected objects detected

 

К сожалению, по данному типу шифровальщика не сможем вам помочь с расшифровкрй без приватного ключа.

 

по логу FRST:

уточните, пожалуйста, это легальные приложения в автозапуске?

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]

HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ

 

Ссылка на сообщение
Поделиться на другие сайты
Бека-Алматы

Бека-Алматы 0

Опубликовано
  • Автор
Опубликовано

нет

Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]

HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ

 

подскажите что делать или есть варианты? у меня тут 1с база уствновлен 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано

по очистке системы в FRST выполните:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки.

  

Start::
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [gbijkII] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\Run: [Jyvrx1H] => C:\Users\user\Pictures\winamp.exe [3142656 2024-04-22] (Nullsoft, Inc.) [Файл не подписан]
HKU\S-1-5-21-4113691338-926295891-1755116701-1000\...\RunOnce: [!BCILauncher] => C:\Windows\Temp\MUBSTemp\BCILauncher.exe [18464 2024-06-27] (Microsoft Corporation -> ) <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winhost.lnk [2024-08-01]
ShortcutTarget: winhost.lnk -> C:\Users\user\Pictures\StartMenuExperience.exe (KC Softwares) [Файл не подписан]
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Downloads\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Documents\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\Desktop\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\Roaming\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\LocalLow\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\user\AppData\Local\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Downloads\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Documents\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\Desktop\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\Roaming\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\LocalLow\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Users\DefaultAppPool\AppData\Local\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\ProgramData\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files\Common Files\README kasper.txt
2024-08-01 14:57 - 2024-08-01 14:57 - 000000413 _____ C:\Program Files (x86)\README kasper.txt
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

winamp.exe, другое имя Elevator.exe -  банковский троян.

https://www.virustotal.com/gui/file/5d7639942a4e285ba985fbf6c9f34b7fdfc7ea7119921cbdebf8509dc6fa09a0/detection

ДрВеб его, к сожалению, не детектирует, потому и не нашелся троян при сканировании Cureit

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)
45 минут назад, Бека-Алматы сказал:

удалена ссылка

на архив надо ставить пароль, так как в карантин попадают вредоносные объекты

переделайте архив, ссылку публиковать не здесь, а в личном сообщении.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Бека-Алматы

Бека-Алматы 0

Опубликовано
  • Автор
Опубликовано

хорошо 

Только что, safety сказал:

на архив надо ставить пароль

переделайте архив, ссылку публиковать не здесь, а в личном сообщении.

хорошо

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 130

Опубликовано
Опубликовано (изменено)

выполните очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу без перезагрузки. 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\PICTURES\STARTMENUEXPERIENCE.EXE
addsgn 1B57B465AAA680BEC718627DA804DEC9E946303A4536D3B4490F09709C1ABD80BFEB8BD6D2B59D492BC80DA3625EC08E59D7A0FB39FEA064A42B80378B8F4657 8 WinGo/Agent.QA 7

zoo %SystemDrive%\USERS\USER\PICTURES\WINAMP.EXE
addsgn 1B77B465AAA680BEC718627DA804DEC9E946303A4536D3B4490F09709C1ABD80BFEB8BD6D2B59D492BC80DA3625EC08E59D7A0FB39FEA064A42B80378B8F4657 8 WinGo/ClipBanker.BT [ESET-NOD32] 7

chklst
delvir

czoo
QUIT

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

архив CZOO****.7z из  папки, откуда запускали uVS загрузите на облачный диск, и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
    • WL787878
      Шифровальщик
      От WL787878
      Key2030_Help.txt
      Здравствуйте. Возможно ли получить помощь в расшифровке файлов? Логи прилагаю.
      Addition.txt FRST.txt
    • ligiray
      Зашифровали файлы на ***.kasper
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Даниил342432
      Здравствуйте, у меня при попытки установки удаленного доступа на компьютер попал вирус, предположительно neshta и зашифровал все файлы в формат KASPER.
      От Даниил342432
      FRST.txtAddition.txt После подключения к компьютеру по RDP на компьютер попал вирус под названием NESHTA. И зашифровал почти все файлы в тип файла KASPER. Попытались удалить при помощи программы(avg_remover_neshta), но ничего не получилось.
      Дальше воспользовавшись этой ссылкой(https://forum.kasperskyclub.ru/topic/65731-pravila-oformlenija-zaprosa-o-pomoshhi/) решили написать вам.
      Virus.rar
    • nonamevit
      Поймали Elons
      От nonamevit
      Все файлы зашифрованы и имеют расширение Elons и внутри лежит файл в каталогах Elons_Help.txt  с таким содержимым 

      Есть софт которым можно расшифровать? 

      IF YOU SEE THIS PAGE, IT MEANS THAT YOUR SERVER AND COMPUTERS ARE ENCRYPTED.
      # In subject line please write your personal ID
      186*********
      # What is the guarantee that we will not cheat you?
      Send us a small encrypted file to the listed emails.
      (The files must be in a common format, such as: doc-excel-pdf-jpg)
      We will decrypt these files and send them back to you as evidence.
      Contact us:
      Elons1890@mailum.com
      Elons1890@cyberfear.com
×
×
  • Создать...