Freeman80S 0 Опубликовано 15 октября Share Опубликовано 15 октября Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron. Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus) FRST.txt шифр файлы и требование.rar Ссылка на сообщение Поделиться на другие сайты
safety 130 Опубликовано 16 октября Share Опубликовано 16 октября (изменено) Судя по логу FRST в системе установлено два антивирусных продукта: HKLM\...\Run: [SpIDerAgent] => C:\Program Files\DrWeb\spideragent.exe [14881840 2024-10-15] (Doctor Web Ltd. -> Doctor Web, Ltd.) HKLM-x32\...\Run: [QHSafeTray] => C:\Program Files (x86)\360\Total Security\safemon\360Tray.exe [413000 2023-03-15] (Beijing Qihu Technology Co., Ltd. -> Qihoo 360 Technology Co. Ltd.) Удалите через установку/удаление один из них. (Лучше удалить 360 и оставить свежеустановленный Дрвеб, если есть лицензия.) 2 антивируса в системе - защищенности это не прибавит, а проблем в системе добавит. Эти файлы добавьте в архив с паролем virus, загрузите архив на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС) 2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg 2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe 1.exe временно переименуйте в 1.vexe до результата проверки, так как он ест ьв автозапуске Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан] Изменено 16 октября пользователем safety Ссылка на сообщение Поделиться на другие сайты
Freeman80S 0 Опубликовано 16 октября Автор Share Опубликовано 16 октября (изменено) сделано Изменено 16 октября пользователем safety Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС Ссылка на сообщение Поделиться на другие сайты
safety 130 Опубликовано 16 октября Share Опубликовано 16 октября (изменено) 22 минуты назад, Freeman80S сказал: сделано Ссылка удалена, ссылки на вредоносные программы не публикуем в общем доступе, только через ЛС Результат проверки: ESET-NOD32 A Variant Of Win64/Filecoder.PP Kaspersky HEUR:Trojan-Ransom.Win32.Generic TrendMicro Ransom.Win64.CONTI.SMYPDL1 DrWeb Undetected https://www.virustotal.com/gui/file/3dc6902dc87d976787bdf0878e7174ec526df613645d3f275e0216d05cf2d217?nocache=1 Изменено 16 октября пользователем safety Ссылка на сообщение Поделиться на другие сайты
safety 130 Опубликовано 16 октября Share Опубликовано 16 октября По очистке системы в FRST: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу без перезагрузки системы Start:: HKLM-x32\...\Run: [] => [X] Task: {4CAAA42F-E0C5-42FF-9316-E5247B0E4545} - System32\Tasks\Windows Update ALPHV => C:\Users\nout\Desktop\1.exe [617984 2024-10-15] () [Файл не подписан] GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-2721602364-4143453170-3849822865-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh] CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] 2024-10-15 22:56 - 2024-10-15 22:56 - 000000011 _____ C:\Users\nout\Desktop\r.cfg 2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe End:: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив згрузите на облачный диск и дайте ссылку на скачивание в личные сообщения (ЛС) Ссылка на сообщение Поделиться на другие сайты
Freeman80S 0 Опубликовано 16 октября Автор Share Опубликовано 16 октября cделал Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
safety 130 Опубликовано 16 октября Share Опубликовано 16 октября (изменено) Если файл переименовали, 2024-10-15 22:55 - 2024-10-15 14:41 - 000617984 _____ C:\Users\nout\Desktop\1.exe удалите его вручную. + проверьте ЛС. С расшифровкой файлов по данному типу шифровальщика не сможем помочь. Изменено 25 октября пользователем safety Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти