Перейти к содержанию

KOZANOSTRA зашифровал ПК

HokkyStyle
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [] => [X]
HKLM\...\Run: [svhost.exe] => C:\Users\User\AppData\Local\Decrypt_KOZANOSTRA.txt [984 2025-06-01] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
HKU\S-1-5-21-181072961-2441506851-3581067743-1001\...\MountPoints2: {22ae723d-d868-11ee-8c3c-a8a159171b1d} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-181072961-2441506851-3581067743-1001\...\MountPoints2: {31323f72-06f1-11ef-8c5a-a8a159171b1d} - "E:\HonorSuiteOnlineInstaller.exe"
HKU\S-1-5-21-181072961-2441506851-3581067743-1001\...\MountPoints2: {8a6a3b64-944c-11ee-8c0f-a8a159171b1d} - "E:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\Run: [YandexBrowserAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62] => "C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\Run: [uFiler] => C:\Program Files (x86)\uFiler\uFiler.exe [9046528 2025-05-27] (IP Iaroslavskii Anton Andreyevich -> uFiler.pro)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicyScripts: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {BCC82BC3-BEC2-442B-BF8D-4A841A3A37CE} - System32\Tasks\stopHash => "D:\Program files\t-rex-0.26.8-win\stop.bat"  (Нет файла) <==== ВНИМАНИЕ
2025-06-01 19:52 - 2025-06-01 19:52 - 000000000 ____D C:\Users\User\AppData\Roaming\Process Hacker 2
2025-06-01 19:52 - 2025-06-01 19:52 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-06-01 19:52 - 2025-06-01 19:52 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-05-27 12:48 - 2025-05-27 12:48 - 000000000 ____D C:\ProgramData\uFiler
2025-05-27 12:48 - 2025-05-27 12:48 - 000000000 ____D C:\Program Files (x86)\uFiler
2025-06-01 23:37 - 2024-07-15 09:15 - 000000000 __SHD C:\Users\User\AppData\Local\3E63AEB8-513C-8DED-6CEC-116A5E406612
Reboot::
End::

 

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
    • Greshnick
      secure5555@msgsafe.io
      Автор Greshnick
      4.10.2022 через слабый RDP зашифровали файлики на серверах во всей сети.
      Однозначно можно сказать, что по словарю пытались подобрать пароль к дефолтному Администратору.
      архив с шифрованными файлами прилагаю.
      Так же удалось выцепить само тело вируса. Архив могу выслать.
      Есть шансы на восстановление, или хоронить?
       
      Содержание письма с требованием instructions.txt:
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      g0ei9.rar
    • Denis.A.Shmarov
      Помогите расшифровать.
      Автор Denis.A.Shmarov
      Коллеги добрый ( не очень) день!
       
      Также поймали этого шифровальщика - и идентификатор тот же что и в первом посте Ильдар_T
       
      Вопрос к Ильдар_T    Удалось ли что-то выяснить по сабжу ?
       
       
      Ваши документы, базы данных и другие файлы были зашифрованы. Но не стоит переживать! 
      Мы все расшифруем и вернем на свои места.
      Ваш идентификатор (ID)
      MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
      Для расшифровки данных:
      Напишите на почту - secure5555@msgsafe.io
       
       *В письме указать Ваш личный идентификатор  MW3TU1hwTvdcURkXBllqXy7DuZ_lncKU5525-KbgSUk*g0eI9
       *Прикрепите 2 файла до 2 мб для тестовой расшифровки. 
        мы их расшифруем, в качестве доказательства, что ТОЛЬКО МЫ можем расшифровать файлы.
       -Чем быстрее вы сообщите нам свой идентификатор, тем быстрее мы выключим произвольное удаление файлов.
       -Написав нам на почту вы получите дальнейшие инструкции по оплате.
      В ответном письме Вы получите программу для расшифровки.
      После запуска программы-дешифровщика все Ваши файлы будут восстановлены.
      Мы гарантируем:
      100% успешное восстановление всех ваших файлов
      100% гарантию соответствия
      100% безопасный и надежный сервис
      Внимание!
       * Не пытайтесь удалить программу или запускать антивирусные средства
       * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных
       * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя
      уникальный ключ шифрования
       
      Сообщение от модератора kmscom Тема перемещена из https://forum.kasperskyclub.ru/topic/238801-pomogite-rasshifrovat/?_report=2928  
    • sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком
      Автор sergey_arz
      День добрый, компьютер проектировщика заражен шифровальщиком. Скан антивирусом не проводил как рекомендует записка, записки и файлы прилагаю.
      файлы и записка.rar Addition.txt FRST.txt
    • Andrey25112025
      Trojan.Encoder
      Автор Andrey25112025
      Здравствуйте. Прошу рассмотреть возможность расшифровать базы 1С на коммерческой основе, файлы зашифрованы в октябре 2024г. Ниже ссылка на два зашифрованных файла. https://disk.yandex.ru/d/KvsLkCD2K-ttNg
      https://disk.yandex.ru/d/LeB1EqVX7NOGJA
       
×
×
  • Создать...