Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Словил вирус шифровальщик

Macitraser
 Поделиться

Рекомендуемые сообщения

Macitraser

Macitraser

Опубликовано
Опубликовано

Коллеа словила вирус шифровальшик на рабочем пк. Файлы логов Farbar и архим с примерами файлови письмом мошенников прилоагаю

Файлы.rar Addition.txt FRST.txt

  • Sandor изменил название на Словил вирус шифровальщик
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Во время сканирования раздела "Другие области" иногда создаётся впечатление, что программа зависла. На самом деле она продолжает работу.

Переделайте, пожалуйста, отчёты Farbar.

При корректном окончании работы программа дважды сообщает о создании логов FRST.txt и Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Выполните скрипт очистки.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\opawO0SPk.README.txt [2108 2026-04-03] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\Desktop\opawO0SPk.README.txt
2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\AppData\Roaming\opawO0SPk.README.txt
2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\AppData\opawO0SPk.README.txt
2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\AppData\LocalLow\opawO0SPk.README.txt
2026-04-03 14:00 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\AppData\Local\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 14:00 - 000159420 _____ C:\Users\User\Downloads\Письмо.pdf
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\Downloads\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\Documents\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\Desktop\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\AppData\Roaming\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\AppData\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\AppData\LocalLow\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\Гостевой\AppData\Local\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\Downloads\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\User\Documents\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\Users\opawO0SPk.README.txt
2026-04-03 13:59 - 2026-04-03 13:59 - 000002108 _____ C:\opawO0SPk.README.txt
Toolbar: HKU\S-1-5-21-421414608-608713027-3190253719-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-421414608-608713027-3190253719-1001 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Users\User\AppData\Roaming\browser_upgrade.exe"
Remove-MpPreference -ExclusionProcess "Aкт cвepки взaимныx pacчeтoв предприятия № 275 oт 2 апреля 2026 гoдa.exe"
Remove-MpPreference -ExclusionProcess "browser_upgrade.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
FirewallRules: [{C63A6ECC-5EDA-408E-BEA3-C745FCFEE1BC}] => (Allow) C:\Program Files (x86)\B-Link\USB Wireless LAN Utility\Rtldhcp.exe => Нет файла
FirewallRules: [{467162E3-A527-4481-9E78-D5FCABFCF16C}] => (Allow) LPort=53
FirewallRules: [{AB308F76-1508-41D5-AACA-BF1AF18E373A}] => (Allow) LPort=53
FirewallRules: [{5BB55B21-9426-4190-AAC6-6E1A2714EB1B}] => (Allow) LPort=68
FirewallRules: [{DD07FE4A-99B6-4E0C-A593-0F0E09A2887B}] => (Allow) LPort=67
FirewallRules: [{E9595EBC-2FDF-4B53-A5B6-E3D1793F77FD}] => (Allow) LPort=53
FirewallRules: [{7DE14418-3321-4430-8FCB-2EDC073C52CF}] => (Allow) LPort=1542
FirewallRules: [{166AACFF-259E-4740-8C8E-9131297A17E0}] => (Allow) LPort=1542
FirewallRules: [{75097974-F5B8-4D4C-B2CA-DEE5DAB2D056}] => (Allow) C:\Program Files (x86)\B-Link\USB Wireless LAN Utility\RtWLan.exe => Нет файла
FirewallRules: [{68AADFB5-4516-4A4B-A18D-A419C11AB78B}] => (Allow) C:\Program Files (x86)\B-Link\USB Wireless LAN Utility\RtWLan.exe => Нет файла
FirewallRules: [{EED75476-1C52-4849-B142-A6A199270938}] => (Allow) LPort=9247
FirewallRules: [{6BB21A2A-5244-4340-B81C-6331CC554913}] => (Allow) LPort=9246
FirewallRules: [{ECBFEF55-B69E-445F-8529-130628771AA3}] => (Allow) LPort=9245
FirewallRules: [{CB9CE5D7-FD6A-41E0-B58F-1042C56678AF}] => (Allow) LPort=9422
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Вероятно заражение началось с вложения из почтового сообщения с именем:

Цитата

Aкт cвepки взaимныx pacчeтoв предприятия № 275 oт 2 апреля 2026 гoдa.exe

Если это сообщение сохранилось, сохраните его в формате *.eml

Упакуйте его в архив с паролем virus и прикрепите к следующему сообщению (или закачайте на облако и дайте ссылку на скачивание).

Sandor

Sandor

Опубликовано
Опубликовано
2 минуты назад, Macitraser сказал:

файлы не починились

Это была только очистка системы от следов вымогателя.

 

Для этого типа скорее всего нет расшифровки. Некоторое время подождите ответа коллеги @safety

safety

safety

Опубликовано
Опубликовано
В 08.04.2026 в 20:42, Macitraser сказал:

Сообщения увы не сохранилось, файлы не починились

Если систему сканировали Cureit, KVRT или штатным антивирусом, добавьте отчеты о сканировании в архиве, без пароля.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sva_zar
      сервер 1С поймал шифровальщик
      Автор sva_zar
      Здравствуйте!
       
      сервер 1С поймал шифровальщик 
      почтовый ящик onlinedecodeallfiles@gmail.com
      Антивируса не было.
      Антивирусные программы не запускали.
       
      files.zip
    • ValeryZ
      Помогите расшифровать файлы с расширением .lokbt и i6ExcKHMZ
      Автор ValeryZ
      Добрый день прошу помощи в расшифровке файлов и определении наименования шифровальщика. Приложил копии файлов в архиве зашифрованные и оригиналы (того что есть). Заранее спасибо
      11111.zip
    • Alex_88
      Шифровальщик BOBCAT
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, FRST логи и файлы прилагаю, просьба помочь с расшифровкой данных. 
       
      Desktop.rar tuE65Ab7X.README.txt Счет на оплату № УТ-258 от 04.10.2023.pdf.rar
    • lomani
      Шифровальщик файлов и выкуп
      Автор lomani
      Зашифровал файлы и требует выкуп.
      Вскрыл 2 скрытых диска\раздела. 1 диск для автоматического архивирования и загрузочный раздел, также диск C . (диск С зашифровал не полностью) . до остальных дисков не добрался.
       
      Addition.txt FRST.txt vir.7z
    • Alex_88
      Шифровальщик keepsecrets@tutanota.de
      Автор Alex_88
      Добрый день!
      Столкнулись с шифровальщиками, логи FRST сделать уже не возможности...
      ИП.cfe.rar dRip8TLmq.README.txt
×
×
  • Создать...