Перейти к содержанию

Заражен Шифровальщиком. Возможно @blocked

Влад1992
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\Run: [YandexBrowserAutoLaunch_B64B7D5D07784CD66F00CA43360BB68B] => "C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\MountPoints2: {3d65be67-ddfa-11ef-bbed-b42e9948cc5f} - E:\SISetup.exe
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\MountPoints2: {46e7e1a4-b937-11e9-9140-d0db6b252977} - E:\MInstAll\MInst.exe
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\MountPoints2: {4cf9aa45-7ed5-11ea-bce1-b42e9948cc5f} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\MountPoints2: {c3a7f3a4-e5ee-11eb-badd-b42e9948cc5f} - 华为手机助手安装向导.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ekvbfmpjfceohqm.txt [2025-08-27] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2025-08-27 10:55 - 2025-08-27 10:55 - 000000000 ____H C:\Users\DD\Documents\Default.rdp
2025-08-27 09:34 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\Tasks\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\SysWOW64\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\SysWOW64\Drivers\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\system32\Tasks\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\system32\spool\prtprocs\x64\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:35 - 000001185 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:35 - 000001185 _____ C:\Users\User\AppData\Local\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\system32\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\system32\Drivers\etc\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\system32\Drivers\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\system32\config\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\Minidump\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\ekvbfmpjfceohqm.txt
2025-08-27 09:29 - 2025-08-27 09:35 - 000001185 _____ C:\Users\User\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 09:29 - 2025-08-27 09:35 - 000001185 _____ C:\Users\User\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\Users\Public\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\Users\Public\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\ProgramData\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\ProgramData\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\User\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\User\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\User\AppData\Roaming\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\User\AppData\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\AppData\Roaming\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\AppData\Roaming\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\AppData\Local\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\AppData\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Public\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Public\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\AppData\Roaming\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\AppData\Local\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\AppData\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\AppData\Roaming\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\AppData\Roaming\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\AppData\Local\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\AppData\ekvbfmpjfceohqm.txt
2025-08-27 08:42 - 2025-08-27 08:42 - 000001185 _____ C:\Program Files\Common Files\ekvbfmpjfceohqm.txt
2025-08-27 08:42 - 2025-08-27 08:42 - 000001185 _____ C:\Program Files (x86)\ekvbfmpjfceohqm.txt
2025-08-27 08:41 - 2025-08-27 08:43 - 000001185 _____ C:\Users\ekvbfmpjfceohqm.txt
2025-08-27 08:41 - 2025-08-27 08:41 - 000001185 _____ C:\Program Files\ekvbfmpjfceohqm.txt
2025-08-27 08:38 - 2025-08-27 08:38 - 000001185 _____ C:\ekvbfmpjfceohqm.txt
2025-08-27 08:13 - 2025-08-27 08:13 - 000000000 ____H C:\Users\User\Documents\Default.rdp
2025-08-27 08:00 - 2025-08-27 08:42 - 000000000 ____D C:\Program Files\RDP Wrapper
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{7E053364-62E2-4E0B-923D-7D3A49C1C867}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{C67AB98E-0EA2-4519-851E-7054E58133CD}] => (Block) %ProgramFiles%\Autodesk\AutoCAD 2016\AcWebBrowser\AcWebBrowser.exe => Нет файла
FirewallRules: [{4750F9D9-C1D1-42D3-A7BA-0D441386A937}] => (Block) %ProgramFiles%\Autodesk\AutoCAD 2016\AcWebBrowser\AcWebBrowser.exe => Нет файла
FirewallRules: [TCP Query User{7CBFE0D6-E4A0-4D55-B26B-EF9E5B62BB94}C:\users\user\downloads\anydesk.exe] => (Allow) C:\users\user\downloads\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{7DB75455-F4AF-4028-B7C9-92C14484AC2B}C:\users\user\downloads\anydesk.exe] => (Allow) C:\users\user\downloads\anydesk.exe => Нет файла
FirewallRules: [TCP Query User{1C61C2FB-712F-4FD9-B131-390D39334745}C:\Program Files (x86)\Helper\jdk11\bin\java.exe] => (Allow) C:\Program Files (x86)\Helper\jdk11\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{0D81D3DE-4F28-404F-A970-BF7F40D1276C}C:\Program Files (x86)\Helper\jdk11\bin\java.exe] => (Allow) C:\Program Files (x86)\Helper\jdk11\bin\java.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Влад1992

Влад1992

Опубликовано
  • Автор
Опубликовано

Пожалуйста.

А нужно создавать логи для каждого диска или хватит только для системного? 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Утилиты создают логи только для системного диска.

 

С расшифровкой, к сожалению, помочь не сможем.

Влад1992

Влад1992

Опубликовано
  • Автор
Опубликовано

Спасибо за информацию.

Это очень плохо что нельзя восстановить информацию. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nuk-nuk
      Зашифровали файлы и очистили яндекс диск =(
      Автор nuk-nuk
      Добрый день. Зашифровали файлы и судя по истории браузера в ручную зашли на яндекс диск и очистили там все. Подскажите есть ли решение? Так же очень интересно узнать предположение, как это стало возможно? Никаких сторонних скачиваний или установок не было =(
       
      исходные.rar Зашифрованные.rar Addition.txt FRST.txt
    • i.molvinskih
      Шифровальщик PHILIP_KIRKOROV
      Автор i.molvinskih
      Здраствуйте, в архиве требования, два зашифрованных файла и лог FRST.
      Шифрование произошло сегодня, журнал событий был очищен.
      требования_и_зашифрованные_файлы.zip
    • Evgeny.D
      Защифровались все файлы unlckr@msgsafe.io
      Автор Evgeny.D
      Защифровались все файлы
      Найдено ли решение на сегодняшний день
      Addition.txt FRST.txt virus.7z
    • ZzordNN
      Шифровальщик .an8uxv2w
      Автор ZzordNN
      По открытому порту rdp на один серверов проник вредитель и в ручную распространил его на другие сервера и несколько машин пользователей от имени администратора. Имеется перехваченный закрытый ключ - насколько он правильный и подходит нам, мы не понимаем.
      Прикрепляем архив с двумя зараженными файлами и памятку бандита с сервера, закрытый ключ.txt, фото исполняемых файлов вируса (сами файлы куда-то затерялись из-за паники) и два отчета от FRST.
      Возможно вам поможет pdf отчет от staffcop с логами действий мошенника и данными буфера, но к сожалению не могу прикрепить сюда его, т.к он весит 13мб. Прикрепляю ссылку на облако где лежит отчет - https://drive.google.com/drive/folders/1AoXCRWR76Ffq0bjwJa7ixVevrQ_9MchK?usp=sharing 
      files shifrator.zip
    • Evgen2454
      Шифровальщик Ransom:Win32/Lockbit.RPA!MTB с расширением .bGe6JmZwv
      Автор Evgen2454
      Добрый день. 07.07.2023 в ночь взломали все сервера и положили всю сеть. Обнаружили когда с утра не работала 1с. Ощущение будто ломали ручками потому что не до всех мест долезли и местами после подключения видны открытые окна которые оставили злоумышленники (было отрыто окно групповых политик где устанавливалось изображение рабочего стола). Файл exe который всё ломает антивирусом видится как Ransom:Win32/Lockbit.RPA!MTB. Сохранялся исполняемый файл в несколько директорий, вот которые заметил:

      C:\Windows\SYSVOL\domain\scripts
      \\domain.local\NETLOGON
      \\domain.local\SYSVOL\domain.local\scripts

      так же через время на принтеры отправили 999 копий текста вымогателей. Архив с вирусом есть. Очень нужна помощь по восстановлению данных.
      Addition.txtFRST.txtзашифрованный файл.rarbGe6JmZwv.README.txt
×
×
  • Создать...