proton ransomware Вирус-шифровщик

11 февраля

Компьютер заражен шифровщиком. В каждой папке все файлы заменены на *.Vc8wZJlb и рядом текстовый файл RestoreFiles.txt. Помогите определить какой шифровщик.
Пример зашифрованного файла и RestoreFiles.txt прикрепил.

test.zip

12 февраля

Добавьте так же логи FRST

12 февраля

Прикрепил логи

FRST.txt Addition.txt

12 февраля

По очистке системы:

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
ContextMenuHandlers1_S-1-5-21-1133942581-3569563902-3176254677-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
ContextMenuHandlers4_S-1-5-21-1133942581-3569563902-3176254677-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
ContextMenuHandlers5_S-1-5-21-1133942581-3569563902-3176254677-1005: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
HKU\S-1-5-21-1133942581-3569563902-3176254677-1000\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-1133942581-3569563902-3176254677-1002\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-1133942581-3569563902-3176254677-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-1133942581-3569563902-3176254677-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-1133942581-3569563902-3176254677-1005\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-1133942581-3569563902-3176254677-1006\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKU\S-1-5-21-1133942581-3569563902-3176254677-1007\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxps://ovgorskiy.ru/
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1133942581-3569563902-3176254677-1003\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\korgar2\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1133942581-3569563902-3176254677-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\korgar2\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" [100202856 2026-02-02] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-1133942581-3569563902-3176254677-1003\...\RunOnce: [Uninstall 25.243.1211.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\korgar2\AppData\Local\Microsoft\OneDrive\25.243.1211.0001" [0 2026-02-02] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1133942581-3569563902-3176254677-1002\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\korgar1\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1133942581-3569563902-3176254677-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\korgar1\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1133942581-3569563902-3176254677-1002\...\RunOnce: [Uninstall 26.012.0119.0002] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\korgar1\AppData\Local\Microsoft\OneDrive\26.012.0119.0002" [0 2026-02-11] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1133942581-3569563902-3176254677-1002\...\RunOnce: [Uninstall 26.007.0112.0002_1] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\korgar1\AppData\Local\Microsoft\OneDrive\26.007.0112.0002_1" [0 2026-02-11] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
HKU\S-1-5-21-1133942581-3569563902-3176254677-1006\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-21-1133942581-3569563902-3176254677-1007\...\Policies\system: [DisableTaskMgr] 1
Task: {C4A372BF-C14F-482D-8F2C-F7E583334E50} - System32\Tasks\NetworkProtectionMonitor => C:\Windows\System32\CompleteProtection.bat [2607 2026-02-11] () [Файл не подписан]
Task: {18FEEFD6-1140-48DC-865A-5DD3B92201EC} - System32\Tasks\UIProtectionEnforcer => C:\Windows\System32\CompleteProtection.bat [2607 2026-02-11] () [Файл не подписан]
Edge StartupUrls: Default -> "hxxps://www.msn.com/ru-ru/","hxxps://ovgorskiy.ru"
CHR StartupUrls: Default -> "hxxps://www.google.com","hxxps://ovgorskiy.ru"
R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2026-02-03] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Если систему сканировали в Cureit, KVRT или штатным антивирусом, добавьте отчеты о сканировании, в архиве, без пароля.

+

Поищите на системном диске папку с файлами "Stub.exe". "Stub64.exe" + папку с именем "HEX"

Изменено 12 февраля пользователем safety

proton ransomware Вирус-шифровщик

Рекомендуемые сообщения

User_2026

safety

User_2026

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum