mimic/n3wwv43 ransomware Шифровальщик zimmer 1488

[Sannjas]

Пожалуйста, помогите,
zimmer1488 зашифровал большинство файлов на моем компьютере.
пароль архива: infected

ransomware zimmer1488.rar

Изменено 2 апреля пользователем Sannjas

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
IFEO\CompatTelRunner.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
IFEO\notepad.exe: [Debugger] C:\Program Files (x86)\Notepad++\notepad++.exe
IFEO\perfmon.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\searchprotocolhost.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\WINDOWS\System32\Systray.exe
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {593B5BB8-ECA4-4D13-8B2A-BCA2058399FC} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-11-28] (Microsoft Windows -> Microsoft Corporation) -> -EncodedCommand "PAAjAHkAZQBpAHAAIwA+ACAAUwB0AGEAcgB0AC0AUAByAG8AYwBlAHMAcwAgAC0ARgBpAGwAZQBQAGEAdABoACAAJwBDADoAXABQAHIAbwBnAHIAYQBtACAARgBpAGwAZQBzAFwARwBvAG8AZwBsAGUAXABDAGgAcgBvAG0AZQBcAHUAcABkAGEAdABlAHIALgBlAHgAZQAnACAALQBWAGUAcgBiACAAUgB1AG4AQQBzACAAPAAjAHYAZQAjAD4A" <==== UWAGA
2025-04-01 21:00 - 2025-04-01 21:16 - 000000000 ____D C:\Users\Serwer HP\AppData\Roaming\Process Hacker 2
2025-04-01 16:36 - 2025-04-01 16:36 - 000000000 ____D C:\temp
2025-04-01 16:29 - 2025-04-01 21:16 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-04-01 17:51 - 2024-11-15 00:32 - 000000000 __SHD C:\Users\Martyna\AppData\Local\D4A4227A-D012-4CEA-21D3-0BAD0BF6CDED
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.