Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Защифровали компьютер. [Rdpdik6@gmail.com].lockedfile

Владимир Д.

Автор Владимир Д.
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Владимир Д.

Владимир Д.

Опубликовано
Опубликовано

В выходные подобрали пароль от входа через удаленный рабочий стол и зашифровали компьютер. Также третьими лицами были внесены изменения в систему, при загрузке появляется сообщение (см. Изображение WhatsApp 2025-08-11.jpg), а вход под другой учетной записи не возможен, ошибка - Службе "Служба профилей пользователей" не удалось войти в систему. Невозможно загрузить профиль пользователя.

Сканирование Farbar Recovery Scan Tool производилось из среды восстановления Windows.

 

Изображение WhatsApp 2025-08-11.jpg

FRST.rar

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Лог Addition.txt так же необходим для анализа.

Если данный лог отсутствует:

судя по логу FRST есть подозрение, что система может быть заражена вирусом Neshta,

2025-07-14 01:50 - 2025-07-14 01:50 - 000041472 _____ C:\Windows\svchost.com

Выполните проверку системы с помощью загрузочного диска KRD

 

после проверки создайте новые логи FRST из нормального режима.

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Владимир Д.

Владимир Д.

Опубликовано
  • Автор
Опубликовано

Выбрать Addition.txt нет возможности. Выполнил проверку системы с помощью KRD, было обнаружено около 1500 файлов зараженных Neshta.

 

Создал новые логи FRST по прежнему из среды восстановления Windows, так как нормальная загрузка ОС и вход в учетные записи не доступны.

IMG_3996.JPEG

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу (возможно) c перезагрузкой системы 

Start::
HKLM-x32\...\Run: [] => [X]
Task: {F240A929-3203-4A13-9176-8FEA9E535351} - \Optimize Start Menu Cache Files-S-1-5-21-2331083727-2912664457-2249245929-1001 -> No File <==== ATTENTION
S2 YandexBrowserService; C:\Program Files (x86)\Yandex\YandexBrowser\24.10.4.931\service_update.exe [3097760 2025-05-06] (YANDEX LLC -> YANDEX LLC)
S2 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S3 GoogleChromeElevationService; "C:\Program Files (x86)\Google\Chrome\Application\109.0.5414.168\elevation_service.exe" [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\109.0.1518.140\elevation_service.exe" [X]
S3 kpm_launch_service; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 9.0.2\kpm_service.exe" [X]
2025-07-14 01:55 - 2025-07-14 01:55 - 007987254 _____ C:\ProgramData\F10A904EF64FCAC82969869C00B2A333.bmp
2025-07-14 01:55 - 2025-07-14 01:55 - 000000040 ____H C:\2C5CF5F2479E
2025-07-14 01:50 - 2025-07-14 01:54 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2025-07-14 01:48 - 2025-07-16 19:42 - 000000000 ____D C:\Users\Администратор\Desktop\x64-Release
2025-07-14 01:54 - 2017-11-10 18:27 - 000000000 ____D C:\Program Files\Unlocker
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • aleksey76
      Поймал шифровальщик с отсылкой на этот адрес Rdpdik6@gmail.com. Прошу помощи в расшифровке.
      Автор aleksey76
      архив.7z
    • Artyom1990
      Подкинули шифровальщик, ни один антивирус его не находит. .[Rdpdik6@gmail.com].lockedfile
      Автор Artyom1990
      Здравствуйте, прошу помочь, подхватили шифровальщик, не могу ни удалить ни расшифровать файлы.
      .[Rdpdik6@gmail.com].lockedfile
      анкета сокращенная.pdf.[Rdpdik6@gmail.com]
      SearchReg.txt Addition.txt FRST.txt
      Это то что отправил вымогатель.
      #Read-for-recovery.txt
      Это то что отправил вымогатель.
    • Алеся Сорокина
      Поймали на компьютере шифровальщик
      Автор Алеся Сорокина
      Операционная система была переустановлена. Письмо и примеры файлов приложили. Пароль на архив virus
      virus.zip
    • Technician6
      Не переносятся компьютеры в группу.
      Автор Technician6
      Имеем корп сервер KSC14 - компьютеры видны, но в управляемых, когда переносишь их в нужную группу, они просто не переносятся и вываливается ошибка как на скрине.

       
      ни через веб интерфейс ни через консоль не переносится. Вопрос, как исправить?
    • Viacheslau T
      Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



×
×
  • Создать...