Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Систему проверили сканерами Cureit или KVRT? Можете предоставить отчет о сканировании?

Опубликовано
1 час назад, Croony сказал:

на втором сервере нашел

К шифровальщику вряд ли относится обнаруженный детект, скорее это какой то патч к 1с.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Winlogon: [LegalNoticeCaption] Frank Ransomware
HKLM\...\Winlogon: [LegalNoticeText]  - All your files are stolen and encrypted - Find Frank_Help.txt file - and follow instructions
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
2025-01-16 03:46 - 2025-01-16 03:46 - 000000957 _____ C:\Frank_Help.txt
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Если необходима очистка второго устройства, тогда добавьте из него логи FRST.

Опубликовано (изменено)

Этот файл вам известен? Можете его проверить на Virustotal.com и дать ссылку на результат проверки здесь?

2025-01-16 06:18 - 2025-01-16 06:18 - 000006656 _____ C:\ProgramData\Dcpher.exe

 

Изменено пользователем safety
Опубликовано (изменено)

Проверьте ЛС

==========

по этому файлу вы не ответили, что это?

Цитата

 

Этот файл вам известен? Можете его проверить на Virustotal.com и дать ссылку на результат проверки здесь?

2025-01-16 06:18 - 2025-01-16 06:18 - 000006656 _____ C:\ProgramData\Dcpher.exe

 

 

Изменено пользователем safety
Опубликовано

Сделайте, пожалуйста, экспорт ключей из реестра в файл с любого из зашифрованных серверов:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug

и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

файлы заархивируйте без пароля и добавьте в ваше сообщение

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Tetradb
      Автор Tetradb
      Здравствуйте.
      Зашифровались все файлы, прошу помощи по расшифровке файлов если есть возможно.
      29.11.2022.rar
    • АндрейПеркка
      Автор АндрейПеркка
      Утром приключилась беда-подхватил шифровальщика. Где, не знаю. В каждой папке закрепленный текстовый файл. Расширение .TeGgRfQk1. Требую денег,   почта help@room155.online, room155@tuta.io. Телега- @HelpRoom155. Помогите. Очень нужные файлы на компе. Прошу помощи.
      TeGgRfQk1.README.txt
    • Вадим666
      Автор Вадим666
      По рдп не пускает на сервер пишет Попытка входа неудачна
      это с компа на котором делали чистку с других пк на него заходит без проблем, с этого же компа на котором проводилась чистка на другие сервера заходит проблема
      Также при копировании пароля и вставки его в пароль РДП сам текст задваивается. Пример копируем пароль 123456 вставляем его в место пароля для рдп получаем 123456123456  
    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • fastheel
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
×
×
  • Создать...