proton Шифровальщик .lsjx

[SкаZочNик]

Здравствуйте!

Заражение компьютера произошло еще 7-го сентября вечером через взлом RDP. Комп попал в руки только сейчас. К расширениям всех файлов добавился вот такой хвост: .[reopening2025@gmail.com].lsjx

Шифровальщик все еще активен в системе, т.к. после перезагрузки зашифровал свежие файлы. Есть незашифрованные копии этих свежих файлов. В результате действия вируса на зараженной машине был удален Kaspersky Small Office Security. Также на зараженном ПК обнаружен файл с именем, полностью совпадающим с ID в письме о выкупе. Причем этот файл настойчиво пытается запуститься и требует разрешения на запуск. На другом, назараженном ПК KES этот файл определяет как Trojan-Ransom.Win32.Generic. В случае необходимости архив с файлом-вирусом, а также с незашифрованными копиями файлов также могу приложить..

Files.7z FRST.txt

[safety]

Добавьте так же этот настойчивый файл, в архиве, с паролем virus, + добавьте второй файл логоы FRST - Addition.txt

 

По очистке системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Restriction ? <==== ATTENTION
2025-09-07 11:15 - 2025-09-07 23:04 - 000000000 ____D C:\Users\User\Desktop\masScan_1.6
2025-09-18 11:16 - 2025-09-18 11:13 - 000397824 _____ C:\Users\User\Desktop\45185400DDB72424C6B59F6EBB230948.exe
2025-09-07 11:13 - 2025-09-07 11:13 - 007987254 _____ C:\ProgramData\45185400DDB72424C6B59F6EBB230948.bmp
2025-09-07 11:12 - 2025-09-07 11:12 - 000000612 _____ C:\#HowToRecover.txt
2025-09-07 11:08 - 2025-09-07 11:12 - 000000000 ____D C:\Program Files (x86)\Advanced Port Scanner
2025-09-07 11:07 - 2025-09-14 11:30 - 000041472 _____ C:\Windows\svchost.com
2025-09-07 11:06 - 2025-09-07 11:12 - 000000000 ____D C:\Users\User\Desktop\x64-Release
2025-09-07 02:34 - 2025-09-07 11:12 - 000000000 ____D C:\Program Files\RDP Wrapper
2025-09-07 02:34 - 2025-09-07 02:34 - 000037376 _____ (Microsoft Corporation) C:\Windows\System32\rfxvmt.dll
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Изменено 14 часов назад пользователем safety

[SкаZочNик]

Файл в запароленном архиве добавил. Addition.txt не создался. FRST запускал из под восстановления системы. Если нужно, то могу попробовать запустить FRST в загруженной системе зараженного ПК.

45185400DDB72424C6B59F6EBB230948.7z

[safety]

Перед очисткой в KRD заархивируйте с паролем virus данную папку:

2025-09-07 11:06 - 2025-09-07 11:12 - 000000000 ____D C:\Users\User\Desktop\x64-Release

+

Сделайте, пожалуйста, проверку/очистку системы с помощью KRD, так как судя по логам FRST из среды восстановления система могла быть заражена дополнительно вирусом Neshta.

После завершения проверки, перегрузите систему в нормальный режим и сделайте новые  полные логи FRST.

Изменено 13 часов назад пользователем safety