Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Большинство файлов на компьютере имеют вид *.*.d3ad

nike_66
 Поделиться

Рекомендуемые сообщения

nike_66 Новичок

nike_66

Опубликовано
Опубликовано

Сегодня после включения компьютера на эклане появилось сообщение с требованием связаться по почте и прислать какойто код и я понял что это вымогатель,  не запустилась 1С когда посмотрел через проводник то большинство файлов на компьютере имеют вид *.*.d3ad . 

Addition.txt FRST.txt Док и треб.rar

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Эти файлы заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения)

Цитата

2024-09-27 01:50 - 2024-01-27 23:37 - 000158208 _____ (test) C:\Users\s\Desktop\ss.exe
2024-09-27 01:50 - 2022-03-31 17:27 - 000121856 _____ (ConsoleApp1) C:\Users\s\Desktop\wiper.exe
2024-09-27 01:50 - 2022-03-01 15:30 - 000457984 _____ (www.sordum.org) C:\Users\s\Desktop\dControl.exe

 

Ссылка на комментарий
Поделиться на другие сайты
nike_66 Новичок

nike_66

Опубликовано
  • Автор
Опубликовано (изменено)

ссылка удалена

 

Изменено пользователем safety
Просим же ссылки на вирусы публиковать только через ЛС. Ссылка в теме доступна не только консультантам.
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

по файлам:

dControl.exe - отключает защиту WinDef

https://www.virustotal.com/gui/file/1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326

ss.exe - возможно троян.

https://www.virustotal.com/gui/file/5d5caa9cdc4e9734851235e7bb000733d6c9f1d12ed9708d005266b868405e2f/detection

тело шифровальщика пока не обнаружено.

 

Пример другого файла шифровальщика *.d3ad

https://www.virustotal.com/gui/file/cf0705a3e4f3690e28184eb019a4940e7291ce5b3d52747ff80b72e90922a89b/detection

описание:

https://id-ransomware.blogspot.com/2022/02/d3adcrypt-ransomware.html

тема с d3ad на bleepingcomputer.com

 

Если систему уже сканировали с помощью cureit или kvrt добавьте пожалуйста здесь логи сканирования. в архиве, без пароля.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Возможно, файл ss.exe является шифровальщиком по некоторым признакам. Проверим.

 

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

  

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d3ad_Help.hta [2024-09-27] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d3ad_Help.txt [2024-09-27] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-09-27 08:07 - 2024-09-27 10:26 - 000000595 _____ C:\rdpwrap.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\User\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\s\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\Public\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\User\Desktop\d3ad_Help.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\s\Desktop\d3ad_Help.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\Public\Desktop\d3ad_Help.txt
2024-09-27 01:53 - 2024-09-27 01:53 - 000001057 _____ C:\d3ad_Help.hta
2024-09-27 01:53 - 2024-09-27 01:53 - 000000675 _____ C:\d3ad_Help.txt
2024-09-27 01:50 - 2024-01-27 23:37 - 000158208 _____ (test) C:\Users\s\Desktop\ss.exe
2024-09-27 01:50 - 2022-03-31 17:27 - 000121856 _____ (ConsoleApp1) C:\Users\s\Desktop\wiper.exe
2024-09-27 01:50 - 2022-03-01 15:30 - 000457984 _____ (www.sordum.org) C:\Users\s\Desktop\dControl.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
nike_66 Новичок

nike_66

Опубликовано
  • Автор
Опубликовано (изменено)

Карантина вообще не нашел. Стоял DrWeb и он был просрочен. Я оключал второй диск сейчас подключил и заново провел сканирование.

Отправил сообщение не видел вашего последнего сейчас все сделаю как вы написали.

Изменено пользователем nike_66
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Ждем пока уточнения типа шифровальщика. + проверьте ЛС.

Сохраните важные зашифрованные данные по данному типу шифровальщика на отдельный носитель, возможно расшифровка в будущем будет возможной.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
  • 4 недели спустя...
safety Гигант мысли

safety

Опубликовано
Опубликовано
33 минуты назад, Kasperboom сказал:

здравствуйте можете еще раз или мне отправить программу вымогателя. 

Создайте новую тему в данном разделе, добавьте в ваше сообщение все необходимые логи и файлы, согласно правилам.

 

Ссылка на комментарий
Поделиться на другие сайты
  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evg1066
      Зашифрованы файлы, шифровальщик обнаружить не смог, вид зашифрованного файла "<имя_файла>.<тип>.i54m390g5b4"
      Автор Evg1066
      Архив.7zAddition.txtFRST.txt
      Ночью было зашифровано множество файлов, Kaspersky Anti-Ransomware Tool показал присутствие Trojan.Win32.Bazon.a. Вручную обнаружить шифровальщика не получилось.
    • alen4iz
      ПК видит флешку, но не загружает ее
      Автор alen4iz
      Здравствуйте! Еще вчера все было хорошо. Сегодня столкнулась с проблемой.
      Подключаю флешку. Открываю проводник. ПК видит флешку (БЕЗ КР (G:)), пытается ее загрузить, но не получается. Подскажите, пожалуйста, возможно ли решить проблему.
       

    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • macklooney1315
      Поймал вирус с флешки, антивирусы его не видят
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
×
×
  • Создать...