Перейти к содержанию
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Заражен Шифровальщиком. Возможно @blocked

Влад1992
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\Run: [YandexBrowserAutoLaunch_B64B7D5D07784CD66F00CA43360BB68B] => "C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\MountPoints2: {3d65be67-ddfa-11ef-bbed-b42e9948cc5f} - E:\SISetup.exe
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\MountPoints2: {46e7e1a4-b937-11e9-9140-d0db6b252977} - E:\MInstAll\MInst.exe
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\MountPoints2: {4cf9aa45-7ed5-11ea-bce1-b42e9948cc5f} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4056201694-2214060035-1460139132-1000\...\MountPoints2: {c3a7f3a4-e5ee-11eb-badd-b42e9948cc5f} - 华为手机助手安装向导.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ekvbfmpjfceohqm.txt [2025-08-27] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2025-08-27 10:55 - 2025-08-27 10:55 - 000000000 ____H C:\Users\DD\Documents\Default.rdp
2025-08-27 09:34 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\Tasks\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\SysWOW64\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\SysWOW64\Drivers\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\system32\Tasks\ekvbfmpjfceohqm.txt
2025-08-27 09:31 - 2025-08-27 09:31 - 000001185 _____ C:\Windows\system32\spool\prtprocs\x64\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:35 - 000001185 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:35 - 000001185 _____ C:\Users\User\AppData\Local\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\system32\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\system32\Drivers\etc\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\system32\Drivers\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\system32\config\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\Minidump\ekvbfmpjfceohqm.txt
2025-08-27 09:30 - 2025-08-27 09:30 - 000001185 _____ C:\Windows\ekvbfmpjfceohqm.txt
2025-08-27 09:29 - 2025-08-27 09:35 - 000001185 _____ C:\Users\User\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 09:29 - 2025-08-27 09:35 - 000001185 _____ C:\Users\User\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\Users\Public\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\Users\Public\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\ProgramData\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:35 - 000001185 _____ C:\ProgramData\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\User\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\User\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\User\AppData\Roaming\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\User\AppData\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\AppData\Roaming\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\AppData\Roaming\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\AppData\Local\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\sec\AppData\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Public\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Public\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\Desktop\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\AppData\Roaming\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\AppData\Local\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\Default\AppData\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\Downloads\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\Documents\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\AppData\Roaming\Microsoft\Windows\Start Menu\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\AppData\Roaming\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\AppData\Local\ekvbfmpjfceohqm.txt
2025-08-27 08:43 - 2025-08-27 09:34 - 000001185 _____ C:\Users\DD\AppData\ekvbfmpjfceohqm.txt
2025-08-27 08:42 - 2025-08-27 08:42 - 000001185 _____ C:\Program Files\Common Files\ekvbfmpjfceohqm.txt
2025-08-27 08:42 - 2025-08-27 08:42 - 000001185 _____ C:\Program Files (x86)\ekvbfmpjfceohqm.txt
2025-08-27 08:41 - 2025-08-27 08:43 - 000001185 _____ C:\Users\ekvbfmpjfceohqm.txt
2025-08-27 08:41 - 2025-08-27 08:41 - 000001185 _____ C:\Program Files\ekvbfmpjfceohqm.txt
2025-08-27 08:38 - 2025-08-27 08:38 - 000001185 _____ C:\ekvbfmpjfceohqm.txt
2025-08-27 08:13 - 2025-08-27 08:13 - 000000000 ____H C:\Users\User\Documents\Default.rdp
2025-08-27 08:00 - 2025-08-27 08:42 - 000000000 ____D C:\Program Files\RDP Wrapper
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
FirewallRules: [{7E053364-62E2-4E0B-923D-7D3A49C1C867}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{C67AB98E-0EA2-4519-851E-7054E58133CD}] => (Block) %ProgramFiles%\Autodesk\AutoCAD 2016\AcWebBrowser\AcWebBrowser.exe => Нет файла
FirewallRules: [{4750F9D9-C1D1-42D3-A7BA-0D441386A937}] => (Block) %ProgramFiles%\Autodesk\AutoCAD 2016\AcWebBrowser\AcWebBrowser.exe => Нет файла
FirewallRules: [TCP Query User{7CBFE0D6-E4A0-4D55-B26B-EF9E5B62BB94}C:\users\user\downloads\anydesk.exe] => (Allow) C:\users\user\downloads\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{7DB75455-F4AF-4028-B7C9-92C14484AC2B}C:\users\user\downloads\anydesk.exe] => (Allow) C:\users\user\downloads\anydesk.exe => Нет файла
FirewallRules: [TCP Query User{1C61C2FB-712F-4FD9-B131-390D39334745}C:\Program Files (x86)\Helper\jdk11\bin\java.exe] => (Allow) C:\Program Files (x86)\Helper\jdk11\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{0D81D3DE-4F28-404F-A970-BF7F40D1276C}C:\Program Files (x86)\Helper\jdk11\bin\java.exe] => (Allow) C:\Program Files (x86)\Helper\jdk11\bin\java.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Влад1992

Влад1992

Опубликовано
  • Автор
Опубликовано

Пожалуйста.

А нужно создавать логи для каждого диска или хватит только для системного? 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Утилиты создают логи только для системного диска.

 

С расшифровкой, к сожалению, помочь не сможем.

Влад1992

Влад1992

Опубликовано
  • Автор
Опубликовано

Спасибо за информацию.

Это очень плохо что нельзя восстановить информацию. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LEN74
      шифровальщик с расширением "KUKARACHA" (.kukaracha)
      Автор LEN74
      Здравствуйте
      поймали вирус-шифровальщик, ( пришло письмо на почту вложенный файл оказался с расширением js., 
      файлы зашифрованы "KUKARACHA" (.kukaracha)
      при запуске компьютера открывается текстовый документ "ПРОЧТИ МЕНЯ",  след. содержания:
       
      Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.
      Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com
      Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт:
      http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.
      Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!
       
      проверкой  Kaspersky Virus Removal Tool 2015 обнаружен вирус:
      Trojan-Ransom.Win32.Scatter.lb
      Файл: C:\Users\Админ\AppData\Local\Temp\cmss.exe
      Троянская программа
          MD5:  6BEE511C779649A7FE989AED8B685268
          SHA256:  CF914E64A00E27CE5532082BCE518627412FC30E09FA5ED34270F17945CC9211
       
      платить не стали, хотя утеряны доки за 10 лет , почитала на форумах, что расшифровать не получится, тем более что один "спец" уже попробовал сам лечить, в итоге предложили переустановить систему,
      но некоторые файлы не за шифровались, и программки работают, например бизнес-пак, а у нас там документы с 2006года. Точки восстановления системы нет, флешка с базами и сохраненными доками тоже закукарачилась (как раз когда шифровальщик активировался с флешкой работали) Есть старая флешка но на ней инфа трехлетней давности, поэтому не хочется сносить систему, заражение было 02.12.16, после этого на компе делали новые документы - те что в ворде и JPEG не защифровываются, а в эхl когда открываются паралельно открывается еще два табличных документа с каракулями, но основной не изменяется.
       
      Подскажите как  почистить комп чтобы удалить все вирусы и  сохранить не поврежденную информацию. и есть ли возможность как то сохранить файлы - может через какое то время появится возможность их расшифровать. Проверку KVRT сделала но вирус ещё не удаляла
      CollectionLog-2016.12.13-12.31.zip
    • Анна14041986
      вирус зашифровал все документы word и фото
      Автор Анна14041986
      При включении в блокноте открывается сообщение: Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. 
      Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com  Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.  Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!   Просканирова компьютер, файлы прикрепила. Addition.txt
      FRST.txt
    • Анастасия Мельникова
      Нужна помощь в расшифровке файлов
      Автор Анастасия Мельникова
      После скачивания файла из эл. почты произошло заражение компьютеры вирусом и зашифровка всех файлов. Появился файл с названием keycode.tta и сообщение:  
      "Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. 
      Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.com  Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик.  Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"
       
      Выполнили сканирование ПК и удаление вируса с помощью утелиты Cureit. Попытались расшифровать файлы с помощью утилит: RakhniDecryptor, rectordecryptor, xoristdecryptor. Положительного результата не было.
       
      Логи AutoLogger.exe прилагаются.
      Ссылка на несколько зашифрованных файлов http://hdd.tomsk.ru/desk/crhhvett
       
      Помогите с расшифровкой.
      CollectionLog-2016.12.09-15.39.zip
    • AleksandrTomsk
      Зашифрован файл .kukaracha [Unlock92 Ransomware]
      Автор AleksandrTomsk
      Вирус создал кучу файлов с раширением <имя файла>.<расширение файла>.kukaracha В автозагрузке появилась новая задача keycode с адресом C:\Users\User\AppData\microsoft\windows\start menu\programs\startup. Папка вместе с файлом была удалена.
      Прикрепляю файлы появившиеся рядом с зашифрованными файлами и зашифрованный файл
       
      virus.rar
    • ДмитрийПК
      файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048
      Автор ДмитрийПК
      Доброго времени суток!
      Через почту поймал зверя - файл вложения с расширением .exe.
      Прописался во всех папках диска С, на других дисках его пока не вижу?
      Файл - !!!!!!!!Как восстановить файлы!!!!!!!.txt пишет:
      "Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048. 
      Если хотите их вернуть отправьте один из зашифрованных файлов и файл keyvalue.bin на e-mail: unlock92@india.com 
      Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер  TOR 
      и с его помощью зайдите на сайт: http://ezulxxtwqos5g736.onion-  там будет указан действующий почтовый ящик. 
      Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!"
       
      некоторые файлы на диске С с расширением _blocked
       
      Шаги с использованием: adwcleaner_6.030 и FRST делал сам, полученные файлы прикрепляю.
       
      Прошу Вашей помощи.
      PS.Файл с логами сейчас вышлю.
      AdwCleanerS1.txt
      AdwCleanerC0.txt
      FRST.txt
      Addition.txt
      CollectionLog-2016.11.16-23.38.zip
×
×
  • Создать...