WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января 4 минуты назад, safety сказал: такой ответ: Данный процесс является служебным и, скорее всего, какое-то сторонее приложение обращается к нему и загружает ваш процессор. Сделайте новые логи FRST посмотрим сто там сейчас после очистки Запустил сканирование. А с зашифрованными файлами получается, что все... их уже не спасти? Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января Только что, WhySpice сказал: А с зашифрованными файлами получается, что все... их уже не спасти? С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января 7 минут назад, safety сказал: С расшифровкой по данному типу шифровальщика не сможем помочь без приватного ключа. Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 6 января Share Опубликовано 6 января 6 минут назад, WhySpice сказал: написал Строгое предупреждение от модератора Mark D. Pearlstone Это мошенники. Не общайтесь с ними. Читайте правила, кто может писать и помогать в данном разделе. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января 2 минуты назад, Mark D. Pearlstone сказал: Строгое предупреждение от модератора Mark D. Pearlstone Это мошенники. Не общайтесь с ними. ну, мне интересно, сколько они предложат за "расшифровку" Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января 1 минуту назад, WhySpice сказал: ну, мне интересно, сколько они предложат за "расшифровку" Еще раз предупреждаем - без приватных ключей расшифровка в Mimic невозможна. обратите внимание, что здесь кругами ходят посредники или мошенники, а может и злоумышленники, которые предлагают помочь с расшифровкой. В лучшем случае они это сделают за выкуп дешифратора, в худшем ( и таких примеров уже достаточно для mimic) либо вообще исчезнут из общения после получения оплаты, либо пришлют нерабочий дешифратор. + детали подобных разговоров здесь не надо публиковать. Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) По новым логам FRST: Уже лучше: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [datastorecyberfearcom.exe] => notepad.exe "C:\Users\WHYSPICE-SERVER\AppData\Local\README.txt" (Нет файла) HKLM\...\Policies\system: [legalnoticetext] Happynewyear! IFEO\1cv8.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\1cv8c.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\1cv8s.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\agntsvc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\AutodeskDesktopApp.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\axlbridge.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\bedbh.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\benetns.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\bengien.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\beserver.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\CompatTelRunner.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\CoreSync.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Creative Cloud.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\dbeng50.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\dbsnmp.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\encsvc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\EnterpriseClient.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\fbguard.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\fbserver.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\fdhost.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\fdlauncher.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\httpd.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\isqlplussvc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\java.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\logoff.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\msaccess.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\MsDtSrvr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\msftesql.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mspub.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mydesktopqos.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mydesktopservice.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mysqld-nt.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mysqld-opt.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\mysqld.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\node.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\ocautoupds.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\ocomm.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\ocssd.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\oracle.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\perfmon.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\pvlsvr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\python.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBDBMgr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBDBMgrN.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBIDPService.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\qbupdate.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBW32.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\QBW64.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Raccine.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\RaccineElevatedCfg.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\RaccineSettings.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Raccine_x86.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\RAgui.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\raw_agent_svc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SearchApp.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SearchIndexer.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SearchProtocolHost.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\shutdown.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\SimplyConnectionManager.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqbcoreservice.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sql.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlagent.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlbrowser.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlmangr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlservr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\sqlwriter.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Ssms.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Sysmon.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\Sysmon64.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\taskkill.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\tasklist.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\taskmgr.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\tbirdconfig.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\tomcat6.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\VeeamDeploymentSvc.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\vsnapvss.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\vxmon.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wdswfsafe.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wpython.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wsa_service.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wsqmcons.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wxServer.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\wxServerView.exe: [Debugger] C:\windows\System32\Systray.exe IFEO\xfssvccon.exe: [Debugger] C:\windows\System32\Systray.exe 2025-01-06 16:10 - 2025-01-06 16:10 - 000000352 _____ C:\README.txt 2025-01-06 16:10 - 2025-01-06 16:10 - 000000000 ____D C:\Users\WHYSPICE-SERVER\AppData\Local\D1708A0A-683E-BE80-41AD-E3EC3C116A23 2025-01-06 16:09 - 2025-01-06 16:09 - 000000069 _____ C:\Users\WHYSPICE-SERVER\Desktop\123.txt Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января 1 час назад, WhySpice сказал: Сейчас еще KVRT досканирует, отчет пришлю Добавьте так же отчеты KVRT Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января 2 минуты назад, safety сказал: Добавьте так же отчеты KVRT https://disk.yandex.ru/d/5C1XJJFRnKOCxg Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) Вообще, судя по записке о выкупе и session.tmp у вас довольно странный ключ шифрования. Экспериментируете с сэмплом? Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января Только что, safety сказал: Вообще, судя по записке о выкупе и session.tmp у вас довольно странный ключ шифрования. Экспериментируете с сэмплом? Нет, вообще ничего не делал Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) Добавьте тогда еще раз новые логи FRST после последней очистки. + этот файл должен быть в папке карантина: C:\Users\WHYSPICE-SERVER\Desktop\123.txt Может вы тогда и расшифровать сможете то что было зашифровано таким ключом. Это сессионный ключ: Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января 10 минут назад, safety сказал: Добавьте тогда еще раз новые логи FRST после последней очистки. Может вы тогда и расшифровать сможете то что было зашифровано таким ключом. Это сессионный ключ: ↓ Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 6 января Share Опубликовано 6 января (изменено) + 2025-01-06 15:16 - 2025-01-06 15:16 - 000000000 ____D C:\KVRT2020_Data в этой папке есть каталог с отчетами, добавьте пожалуйста файлв из каталога отчетов + этот файл должен быть в папке карантина: C:\Users\WHYSPICE-SERVER\Desktop\123.txt Изменено 6 января пользователем safety Ссылка на комментарий Поделиться на другие сайты More sharing options...
WhySpice Опубликовано 6 января Автор Share Опубликовано 6 января 6 минут назад, safety сказал: + 2025-01-06 15:16 - 2025-01-06 15:16 - 000000000 ____D C:\KVRT2020_Data в этой папке есть каталог с отчетами, добавьте пожалуйста файлв из каталога отчетов + этот файл должен быть в папке карантина: C:\Users\WHYSPICE-SERVER\Desktop\123.txt https://disk.yandex.ru/d/FcLxLY8_Er1aQA - KVRT 123.txt - я создавал с ссылкой на данный топик Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти