dchelp Зашифровали диски

[Гончаров Максим]

Добрый день. У меня такая же проблема, 4 компа уже не запускаются но есть еще те где смогу вытащить исполняемые файлы. Прошу помогите. 

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Гончаров Максим]

Addition.txt begood327.rar FRST.txt

А это прога decrypt которая была месте с вирусом так же с паролем 

dcrypt.rar

[Гончаров Максим]

Кстати печать на принтер он вывел  сам

 

 

Изменено 3 февраля пользователем Гончаров Максим

[Гончаров Максим]

Вирусы переименованы из exe в txt, в противном случае их антивирус Касперского блокирует 

Изменено 3 февраля пользователем Гончаров Максим

[safety]

По очистке системы:

Возможно что будет запрошена перезагрузка системы,

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу.

Start::
Task: {620EBC98-0AC7-4DC2-83D5-467A95423971} - \Microsoft\Windows\Setup\EOSNotify2 -> Нет файла <==== ВНИМАНИЕ
Task: {9611F35D-FE7E-4E39-A9D9-0CCD3D6096A8} - \ASP -> Нет файла <==== ВНИМАНИЕ
Task: {A5A6D1DC-F178-4557-A0F8-3D4971C33ABA} - \Microsoft\Windows\Setup\EOSNotify -> Нет файла <==== ВНИМАНИЕ
Task: {3D1D2F1B-7909-499D-B320-534536A19D3C} - System32\Tasks\PUpdate => C:\WINDOWS\system32\shutdown.exe [28160 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> -r -f -t 10
Task: {32D29993-3DCA-4973-9CB8-7A0D20E3D5D8} - System32\Tasks\Opera scheduled Autoupdate 1552306957 => C:\Users\User\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe [5956568 2025-10-09] (Opera Norway AS -> Opera Software)
Task: {BEBC0A8E-D72C-4B2F-85AB-2B40285EF152} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-1120 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {59B44D29-FB1C-48D0-A952-399C702F2AC6} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-1126 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {EB8246B3-20CC-4A27-91F8-7CE574DA1D3E} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1587835184-344599862-3189331952-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {0261C7B9-5F5B-453E-A668-92052AFDEBC7} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-1120 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {ECDB4A27-8A08-402A-A092-C1E3424FCAB3} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-1126 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {62544BCE-3E60-4FBC-9ECA-2A0EFC8C1F53} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1587835184-344599862-3189331952-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [ahnphcmhmhcjjcjhmnnjjlbmaeljecga]
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi]
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
2026-02-03 05:11 - 2026-02-03 05:11 - 000003188 _____ C:\WINDOWS\system32\Tasks\PUpdate
2026-02-03 04:57 - 2025-02-21 04:26 - 000000119 _____ C:\WINDOWS\Notepad-I.bat
2026-02-03 04:17 - 2026-02-03 18:35 - 000000000 ____D C:\Program Files\Mesh Agent
2026-02-03 04:16 - 2026-02-03 18:35 - 000000000 ____D C:\tmp
End::

Далее,

После завершения работы скрипта:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь.

+

Изменено 4 февраля пользователем safety

[Гончаров Максим]

Перезагрузка без удаления данных файлов чревата блокировкой всех разделов. Один комп я уже запорол, к сожалению больше мне ошибаться нельзя.  Если интересно могу в личку скинуть IP с которого был брутфорс по RDP. 

 

На счёт инструкции, я постараюсь, но не факт что получится. Касперский  ( лицензия, сразу блокирует и удаляет эти файлы )

[safety]

В данном случае, я убрал из скрипта команду Reboot, чтобы не было автоматической перезагрузки системы.

 

Можно просто эти файлы и папки удалять, так как здесь команда начала шифрования, задача перезагрузки системы.

без перезагрузки.

2026-02-03 05:11 - 2026-02-03 05:11 - 000003188 _____ C:\WINDOWS\system32\Tasks\PUpdate
2026-02-03 04:57 - 2025-02-21 04:26 - 000000119 _____ C:\WINDOWS\Notepad-I.bat
2026-02-03 04:17 - 2026-02-03 18:35 - 000000000 ____D C:\Program Files\Mesh Agent
2026-02-03 04:16 - 2026-02-03 18:35 - 000000000 ____D C:\tmp

Но предварительно имеет смысл создать архивные копии, возможно в папках есть информация к решению по разблокировке.

Изменено 4 февраля пользователем safety

[safety]

По файлам:

Цитата

 

m.exe - Meshagent, для удаленного управления.

https://www.virustotal.com/gui/file/c927cd3c8b263eb2eac14f0a9c25349dbf7545c5e4c376f597725639b0c28dc2/detection

Notepad.exe - установщик дискриптора.

https://www.virustotal.com/gui/file/018d0b2af8479147def984a4c6a0db31703baacd87557d51271ad8c952f450b8/detection

Clear.bat - очистка журналов событий

Notepad-I.bat - запуск установки дисриптора+перезгрузка системы.

Task: {3D1D2F1B-7909-499D-B320-534536A19D3C} - System32\Tasks\PUpdate => C:\WINDOWS\system32\shutdown.exe [28160 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> -r -f -t 10

 

В c:\tmp посмотрите что есть, возможно среди удаленных надо поискать файлы из этой папки

Изменено 4 февраля пользователем safety