Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Других зашифрованных файлов нет? В этом документе все таки есть личная информация.

Тем более, пара не нужна. Не поможет получить ключ. Добавьте только несколько зашифрованных файлов.

+

Добавьте файл secrtes.exe в архиве, с паролем virus

 

Этот процесс закрыть надо. возможно это вайпер, который чистит дисковое пространство на месте удаленных файлов.

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

Изменено пользователем safety
Опубликовано

Выполните очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe
IFEO\aakore.exe: [Debugger] Hotkey Disabled
IFEO\acp-update-controller.exe: [Debugger] Hotkey Disabled
IFEO\acrocmd.exe: [Debugger] Hotkey Disabled
IFEO\acroinst2.exe: [Debugger] Hotkey Disabled
IFEO\acronis_encrypt.exe: [Debugger] Hotkey Disabled
IFEO\acropsh.exe: [Debugger] Hotkey Disabled
IFEO\act.exe: [Debugger] Hotkey Disabled
IFEO\active_protection_service.exe: [Debugger] Hotkey Disabled
IFEO\active_protection_service_no_ic.exe: [Debugger] Hotkey Disabled
IFEO\adp-agent.exe: [Debugger] Hotkey Disabled
IFEO\adp-rest-util.exe: [Debugger] Hotkey Disabled
IFEO\adp-wu-tool.exe: [Debugger] Hotkey Disabled
IFEO\Analyzer.exe: [Debugger] Hotkey Disabled
IFEO\asz_helper.exe: [Debugger] Hotkey Disabled
IFEO\AutoPartNt.exe: [Debugger] Hotkey Disabled
IFEO\CompatTelRunner.exeSecurityHealthHost: [Debugger] Hotkey Disabled
IFEO\ConfigSecurityPolicy: [Debugger] Hotkey Disabled
IFEO\ConnectAgent.exe: [Debugger] Hotkey Disabled
IFEO\cred-store.exe: [Debugger] Hotkey Disabled
IFEO\cyber-desktop-service.exe: [Debugger] Hotkey Disabled
IFEO\cyber-protect-service.exe: [Debugger] Hotkey Disabled
IFEO\cyber-scripting-executor.exe: [Debugger] Hotkey Disabled
IFEO\device-sense.exe: [Debugger] Hotkey Disabled
IFEO\DlpUserAgent: [Debugger] Hotkey Disabled
IFEO\dml_dump.exe: [Debugger] Hotkey Disabled
IFEO\dml_host.exe: [Debugger] Hotkey Disabled
IFEO\dml_migration.exe: [Debugger] Hotkey Disabled
IFEO\dml_update.exe: [Debugger] Hotkey Disabled
IFEO\EdrCawl.exe: [Debugger] Hotkey Disabled
IFEO\EdrTest.exe: [Debugger] Hotkey Disabled
IFEO\emergency-updater.exe: [Debugger] Hotkey Disabled
IFEO\emergency_update_uninstaller.exe: [Debugger] Hotkey Disabled
IFEO\etl-tool.exe: [Debugger] Hotkey Disabled
IFEO\feedback-collector.exe: [Debugger] Hotkey Disabled
IFEO\file_protector_control.exe: [Debugger] Hotkey Disabled
IFEO\grpm-sync-unit.exe: [Debugger] Hotkey Disabled
IFEO\grpm.exe: [Debugger] Hotkey Disabled
IFEO\InputPersonalization.exe: [Debugger] Hotkey Disabled
IFEO\logmc.exe: [Debugger] Hotkey Disabled
IFEO\mi-monitoring.exe: [Debugger] Hotkey Disabled
IFEO\migrate_credvault.exe: [Debugger] Hotkey Disabled
IFEO\mip.exe: [Debugger] Hotkey Disabled
IFEO\mms.exe: [Debugger] Hotkey Disabled
IFEO\MmsMonitor.exe: [Debugger] Hotkey Disabled
IFEO\MpDefenderCoreService: [Debugger] Hotkey Disabled
IFEO\MpDlpCmd: [Debugger] Hotkey Disabled
IFEO\MpDlpService: [Debugger] Hotkey Disabled
IFEO\mpextms: [Debugger] Hotkey Disabled
IFEO\MRT.exe: [Debugger] Hotkey Disabled
IFEO\msinfo32.exe: [Debugger] Hotkey Disabled
IFEO\MsMpEng: [Debugger] Hotkey Disabled
IFEO\msp_port_checker_packed.exe: [Debugger] Hotkey Disabled
IFEO\network-isolation-unit.exe: [Debugger] Hotkey Disabled
IFEO\NisSrv: [Debugger] Hotkey Disabled
IFEO\openssl.exe: [Debugger] Hotkey Disabled
IFEO\permission_tool.exe: [Debugger] Hotkey Disabled
IFEO\pipanel.exe: [Debugger] Hotkey Disabled
IFEO\private-cloud-proxy.exe: [Debugger] Hotkey Disabled
IFEO\product_info.exe: [Debugger] Hotkey Disabled
IFEO\python.exe: [Debugger] Hotkey Disabled
IFEO\register_agent.exe: [Debugger] Hotkey Disabled
IFEO\remediation.exe: [Debugger] Hotkey Disabled
IFEO\schedarq.exe: [Debugger] Hotkey Disabled
IFEO\schedhlp.exe: [Debugger] Hotkey Disabled
IFEO\schedmgr.exe: [Debugger] Hotkey Disabled
IFEO\schedul2.exe: [Debugger] Hotkey Disabled
IFEO\SecurityHealthService: [Debugger] Hotkey Disabled
IFEO\SecurityHealthSystray: [Debugger] Hotkey Disabled
IFEO\service_process.exe: [Debugger] Hotkey Disabled
IFEO\sh-inventory.exe: [Debugger] Hotkey Disabled
IFEO\ShapeCollector.exe: [Debugger] Hotkey Disabled
IFEO\smartscreen.exe: [Debugger] Hotkey Disabled
IFEO\spawn.exe: [Debugger] Hotkey Disabled
IFEO\systeminfo.exe: [Debugger] Hotkey Disabled
IFEO\system_monitor_tool.exe: [Debugger] Hotkey Disabled
IFEO\TabTip.exe: [Debugger] Hotkey Disabled
IFEO\TabTip32.exe: [Debugger] Hotkey Disabled
IFEO\task-manager.exe: [Debugger] Hotkey Disabled
IFEO\tibxread.exe: [Debugger] Hotkey Disabled
IFEO\tib_mounter_monitor.exe: [Debugger] Hotkey Disabled
IFEO\tib_mounter_service.exe: [Debugger] Hotkey Disabled
IFEO\Uninstaller.exe: [Debugger] Hotkey Disabled
IFEO\updater.exe: [Debugger] Hotkey Disabled
IFEO\upgrade_tool.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.CloudService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.MountService.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.Backup.WmiServer.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.EndPoint.Service.exe: [Debugger] Hotkey Disabled
IFEO\Veeam.VssHwSnapshotProvider.exe: [Debugger] Hotkey Disabled
IFEO\VeeamDeploymentSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamHvIntegrationSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamNFSSvc.exe: [Debugger] Hotkey Disabled
IFEO\VeeamTransportSvc.exe: [Debugger] Hotkey Disabled
IFEO\vmcompute.exe: [Debugger] Hotkey Disabled
IFEO\vmms.exe: [Debugger] Hotkey Disabled
IFEO\vmwp.exe: [Debugger] Hotkey Disabled
IFEO\VsImmersiveActivateHelper.exe: [Debugger] Hotkey Disabled
IFEO\VSLauncher.exe: [Debugger] Hotkey Disabled
IFEO\vss_requestor.exe: [Debugger] Hotkey Disabled
IFEO\web_installer.exe: [Debugger] Hotkey Disabled
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [ohedcglhbbfdgaogjhcclacoccbagkjg]
S1 ehyqjpmw; \??\C:\Windows\system32\drivers\ehyqjpmw.sys [X]
S2 NPF; \??\C:\Program Files\iVMS-4200 Lite\Drivers\npf64.sys [X]
S1 usandmtc; \??\C:\Windows\system32\drivers\usandmtc.sys [X]
S3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X]
2025-02-13 08:30 - 2025-02-13 08:30 - 002098230 _____ C:\ProgramData\1b.mp
2025-02-13 08:30 - 2025-02-13 08:30 - 000006656 _____ C:\ProgramData\secrtes.exe
2025-02-13 03:42 - 2025-02-13 03:42 - 000003874 _____ C:\Users\администратор.KIA59\advanced_port_scanner_MAC.bin
2025-02-13 03:42 - 2025-02-13 03:42 - 000000015 _____ C:\Users\администратор.KIA59\advanced_port_scanner_Comments.bin
2025-02-13 03:42 - 2025-02-13 03:42 - 000000015 _____ C:\Users\администратор.KIA59\advanced_port_scanner_Aliases.bin
2025-02-13 03:38 - 2025-02-13 03:38 - 000001030 _____ C:\Users\Public\Desktop\Advanced Port Scanner.lnk
2025-02-13 03:38 - 2025-02-13 03:38 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Advanced Port Scanner v2
2025-02-13 03:38 - 2025-02-13 03:38 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано (изменено)
47 минут назад, safety сказал:

Других зашифрованных файлов нет? В этом документе все таки есть личная информация.

Тем более, пара не нужна. Не поможет получить ключ. Добавьте только несколько зашифрованных файлов.

+

Добавьте файл secrtes.exe в архиве, с паролем virus

 

Этот процесс закрыть надо. возможно это вайпер, который чистит дисковое пространство на месте удаленных файлов.

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

 

ёщё файла.rar

secrtes.rar

Изменено пользователем DennisKo
Опубликовано (изменено)
2 часа назад, safety сказал:

С тем, чтобы не было возможно восстановить удаленные файлы.

(C:\Windows\SysWOW64\cmd.exe ->) () [Файл не подписан] C:\ProgramData\secrtes.exe

https://www.virustotal.com/gui/file/8e3ff1907d973d91167c2d74ac8414496d7f430687eef52e3201721e01513761/detection

 

+ добавьте лог выполнения скрипта очистки.

Изменено пользователем safety
Опубликовано
12 часов назад, safety сказал:

+ добавьте лог выполнения скрипта очистки.

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Опубликовано
6 часов назад, safety сказал:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

FRST.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • astraoren
      Автор astraoren
      Здравствуйте, шифровальщик зашифровал файлы. Прошу помощи в расшифровке
      encoder files.zip
    • Lingon
      Автор Lingon
      files.rarAddition.txt
      FRST.txt
    • SatanicPanzer
      Автор SatanicPanzer
      Скорее всего проник через почту на сервер небольшой фирмы, файлы и логи прикрепляю
      FRST.txt 1.zip
    • Evgeniy Alekseevich
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
×
×
  • Создать...