Перейти к содержанию

KOZANOSTRA зашифровал ПК

HokkyStyle
 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Run: [] => [X]
HKLM\...\Run: [svhost.exe] => C:\Users\User\AppData\Local\Decrypt_KOZANOSTRA.txt [984 2025-06-01] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticetext] Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences
HKU\S-1-5-21-181072961-2441506851-3581067743-1001\...\MountPoints2: {22ae723d-d868-11ee-8c3c-a8a159171b1d} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-181072961-2441506851-3581067743-1001\...\MountPoints2: {31323f72-06f1-11ef-8c5a-a8a159171b1d} - "E:\HonorSuiteOnlineInstaller.exe"
HKU\S-1-5-21-181072961-2441506851-3581067743-1001\...\MountPoints2: {8a6a3b64-944c-11ee-8c0f-a8a159171b1d} - "E:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\Run: [YandexBrowserAutoLaunch_ECDD6029C5CCE0A7929A253137E11B62] => "C:\Users\Администратор\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\webcompanion.com -> hxxp://webcompanion.com
HKU\S-1-5-21-181072961-2441506851-3581067743-500\...\Run: [uFiler] => C:\Program Files (x86)\uFiler\uFiler.exe [9046528 2025-05-27] (IP Iaroslavskii Anton Andreyevich -> uFiler.pro)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\logoff.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\perfmon.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchApp.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchIndexer.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\SearchProtocolHost.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\sethc.exe: [Debugger] c:\windows\system32\cmd.exe
IFEO\shutdown.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskkill.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\tasklist.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\taskmgr.exe: [Debugger] C:\Windows\System32\Systray.exe
IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\Systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicyScripts: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {BCC82BC3-BEC2-442B-BF8D-4A841A3A37CE} - System32\Tasks\stopHash => "D:\Program files\t-rex-0.26.8-win\stop.bat"  (Нет файла) <==== ВНИМАНИЕ
2025-06-01 19:52 - 2025-06-01 19:52 - 000000000 ____D C:\Users\User\AppData\Roaming\Process Hacker 2
2025-06-01 19:52 - 2025-06-01 19:52 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-06-01 19:52 - 2025-06-01 19:52 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-05-27 12:48 - 2025-05-27 12:48 - 000000000 ____D C:\ProgramData\uFiler
2025-05-27 12:48 - 2025-05-27 12:48 - 000000000 ____D C:\Program Files (x86)\uFiler
2025-06-01 23:37 - 2024-07-15 09:15 - 000000000 __SHD C:\Users\User\AppData\Local\3E63AEB8-513C-8DED-6CEC-116A5E406612
Reboot::
End::

 

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kalosha
      Поймали шифровальщик
      Автор kalosha
      Доброго времени суток. на компе поработал шифровальщик. прошу подсказать чем можно расшифровать все файлы. Логи прикрепил. Так же прикрепил файл с возможным ключом и с зашифрованным файлом в архиве session.rar
      CollectionLog-2026.01.14-09.38.zip session.rar
    • Salien
      Шифровальщик зашифровал все файлы на ПК
      Автор Salien
      Шифровальщик зашифровал все файлы на ПК, файлы имеют расширение .elpy и после него ID 
    • AntonK2402
      Зашифровались все файлы расширение WORM
      Автор AntonK2402
      Зашифровались все файлы  расширение WORM  
       
      как можно расшифровать ? 
    • AlexPh_Vl
      Шифровальщик зашифровал всё, очень нужна база 1С
      Автор AlexPh_Vl
      Добрый день, продолжение  темы 
      файлы уже были отправлены в вышеуказанной теме.
      Речь об одном и том же компьютере.
      Прислали дешифровщик, но после лечения (удаления вируса) он  выдает ошибки. Как передать данный дешифровщик и  данные для анализа?
    • farsh13
      Шифровальщик с расширением KASPERSKY
      Автор farsh13
      Добрый день. 
      Утром зашифровались все файлы и стали с расширением KASPERSKY
      Скан логи утилитой с зараженного ПК, текст вымогателя и несколько файлов прилагаю
      PHOTO-2018-05-31-17-30-46.jpg.rar Addition.txt FRST.txt Kaspersky_Decryption.txt
×
×
  • Создать...