Перейти к содержанию

Большинство файлов на компьютере имеют вид *.*.d3ad


Рекомендуемые сообщения

Сегодня после включения компьютера на эклане появилось сообщение с требованием связаться по почте и прислать какойто код и я понял что это вымогатель,  не запустилась 1С когда посмотрел через проводник то большинство файлов на компьютере имеют вид *.*.d3ad . 

Addition.txt FRST.txt Док и треб.rar

Ссылка на комментарий
Поделиться на другие сайты

Эти файлы заархивируйте с паролем virus, загрузите на облачный диск и дайте ссылку на скачивание в ЛС (личные сообщения)

Цитата

2024-09-27 01:50 - 2024-01-27 23:37 - 000158208 _____ (test) C:\Users\s\Desktop\ss.exe
2024-09-27 01:50 - 2022-03-31 17:27 - 000121856 _____ (ConsoleApp1) C:\Users\s\Desktop\wiper.exe
2024-09-27 01:50 - 2022-03-01 15:30 - 000457984 _____ (www.sordum.org) C:\Users\s\Desktop\dControl.exe

 

Ссылка на комментарий
Поделиться на другие сайты

ссылка удалена

 

Изменено пользователем safety
Просим же ссылки на вирусы публиковать только через ЛС. Ссылка в теме доступна не только консультантам.
Ссылка на комментарий
Поделиться на другие сайты

по файлам:

dControl.exe - отключает защиту WinDef

https://www.virustotal.com/gui/file/1ef6c1a4dfdc39b63bfe650ca81ab89510de6c0d3d7c608ac5be80033e559326

ss.exe - возможно троян.

https://www.virustotal.com/gui/file/5d5caa9cdc4e9734851235e7bb000733d6c9f1d12ed9708d005266b868405e2f/detection

тело шифровальщика пока не обнаружено.

 

Пример другого файла шифровальщика *.d3ad

https://www.virustotal.com/gui/file/cf0705a3e4f3690e28184eb019a4940e7291ce5b3d52747ff80b72e90922a89b/detection

описание:

https://id-ransomware.blogspot.com/2022/02/d3adcrypt-ransomware.html

тема с d3ad на bleepingcomputer.com

 

Если систему уже сканировали с помощью cureit или kvrt добавьте пожалуйста здесь логи сканирования. в архиве, без пароля.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Возможно, файл ss.exe является шифровальщиком по некоторым признакам. Проверим.

 

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы.

 

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d3ad_Help.hta [2024-09-27] () [Файл не подписан]
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d3ad_Help.txt [2024-09-27] () [Файл не подписан]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
2024-09-27 08:07 - 2024-09-27 10:26 - 000000595 _____ C:\rdpwrap.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\User\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\s\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000001057 _____ C:\Users\Public\Desktop\d3ad_Help.hta
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\User\Desktop\d3ad_Help.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\s\Desktop\d3ad_Help.txt
2024-09-27 07:23 - 2024-09-27 07:23 - 000000675 _____ C:\Users\Public\Desktop\d3ad_Help.txt
2024-09-27 01:53 - 2024-09-27 01:53 - 000001057 _____ C:\d3ad_Help.hta
2024-09-27 01:53 - 2024-09-27 01:53 - 000000675 _____ C:\d3ad_Help.txt
2024-09-27 01:50 - 2024-01-27 23:37 - 000158208 _____ (test) C:\Users\s\Desktop\ss.exe
2024-09-27 01:50 - 2022-03-31 17:27 - 000121856 _____ (ConsoleApp1) C:\Users\s\Desktop\wiper.exe
2024-09-27 01:50 - 2022-03-01 15:30 - 000457984 _____ (www.sordum.org) C:\Users\s\Desktop\dControl.exe
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Заархивируйте папку C:\FRST\Quarantine с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Карантина вообще не нашел. Стоял DrWeb и он был просрочен. Я оключал второй диск сейчас подключил и заново провел сканирование.

Отправил сообщение не видел вашего последнего сейчас все сделаю как вы написали.

Изменено пользователем nike_66
Ссылка на комментарий
Поделиться на другие сайты

Ждем пока уточнения типа шифровальщика. + проверьте ЛС.

Сохраните важные зашифрованные данные по данному типу шифровальщика на отдельный носитель, возможно расшифровка в будущем будет возможной.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • 4 недели спустя...
33 минуты назад, Kasperboom сказал:

здравствуйте можете еще раз или мне отправить программу вымогателя. 

Создайте новую тему в данном разделе, добавьте в ваше сообщение все необходимые логи и файлы, согласно правилам.

 

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Evg1066
      Автор Evg1066
      Архив.7zAddition.txtFRST.txt
      Ночью было зашифровано множество файлов, Kaspersky Anti-Ransomware Tool показал присутствие Trojan.Win32.Bazon.a. Вручную обнаружить шифровальщика не получилось.
    • alen4iz
      Автор alen4iz
      Здравствуйте! Еще вчера все было хорошо. Сегодня столкнулась с проблемой.
      Подключаю флешку. Открываю проводник. ПК видит флешку (БЕЗ КР (G:)), пытается ее загрузить, но не получается. Подскажите, пожалуйста, возможно ли решить проблему.
       

    • macklooney1315
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
    • Run
      Автор Run
      Доброго времени суток, компьютер словил вирус шифровальщик все важные файлы переименованы и зашифрованы вида *.goodluck.k ;  *.goodluck почта mattersjack768@gmail.com в корне диска папка Keylock с файлом ky.DAT кто может помочь как можно вернуть все назад. Восстановление не помогает, файлы также не открываются.
      Логи собраны на лайф диске. Основная ОС Windows Server 2008 R2 по времени зашифрованы 25 февраля 2025 в 4:46
      FRST.txtфайлы зашифрованные.zipKeylock.zip
    • Михаил79
      Автор Михаил79
      Здравствуйте. Зашифровали рабочий компьютер с 1с
      Addition.txt arhiv.rar FRST.txt
×
×
  • Создать...