ouroboros Зашифровано ant_dec 03/06

[DreamPanda27]

Здравствуйте, ночью зашифровались файлы на рабочей станции, возможно ли как-то очистить систему от этой гадости? На расшифровку файлов даже не надеюсь, да и переустанавливать систему не хотелось бы. Нужные файлы прикладываю

Logs.zip Files.zip

[safety]

Этот файл сохраните, он будет необходим для расшифровки, когда она станет возможной

2025-06-02 22:40 - 2025-06-02 22:40 - 000002032 _____ C:\WINDOWS\system32\HOP.KEY

 

Систему сканировали с помощью Cureit или KVRT? Можете предоставить отчеты о сканировании? в архиве, без пароля.

 

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKU\S-1-5-21-143488166-2321056295-3695880314-1003\...\Run: [MicrosoftEdgeAutoLaunch_131FA15FACB980B6A974070295B3176D] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start (Нет файла)
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2025-06-02] () [Файл не подписан]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AnyDesk.lnk.[MJ-BD3401958726](lock01ant@gmail.com ).ant_dec [2025-06-02]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Dectryption-guide.txt [2025-06-02] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {F3350EDB-1934-4687-B87A-A7AF16840C97} - System32\Tasks\RDP Wrapper Autoupdate => C:\WINDOWS\system32\cmd.exe [376832 2025-05-29] (Microsoft Windows -> Microsoft Corporation) -> /C "C:\Program Files\RDP Wrapper\autoupdate.bat" -log <==== ВНИМАНИЕ
2025-06-02 22:45 - 2025-06-02 22:45 - 000000864 _____ C:\WINDOWS\Tasks\Dectryption-guide.txt
2025-06-02 22:45 - 2025-06-02 22:45 - 000000864 _____ C:\WINDOWS\SysWOW64\Drivers\Dectryption-guide.txt
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.