Перейти к содержанию
Конкурс по разработке Telegram-бота Kaspersky Club

Зашифровал все сетевые папки (omerta)

ospichev
 Поделиться

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

С данным типом шифровальщика скорее всего не поможем с расшифровкой.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = http=127.0.0.1:2080 (disabled)


- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
CloseProcesses:
ProxyServer: [S-1-5-21-777735583-2100714772-664254183-1000] => http=127.0.0.1:2080
AutoConfigURL: [S-1-5-21-777735583-2100714772-664254183-1000] => http=127.0.0.1:2080
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
Virustotal: C:\Program Files\AnyDesk\AnyDesk.exe
2018-10-13 18:41 - 2018-10-13 18:41 - 000003824 _____ C:\Users\Андрей\READ THIS IF YOU WANT TO GET ALL YOUR FILES BACK.TXT
2017-03-11 01:53 - 2017-03-11 01:53 - 000045056 _____ () C:\Users\Иван\AppData\Local\Temp\ginstall.dll
2017-11-06 00:53 - 2017-11-06 00:53 - 032549352 _____ (DeskShare Inc.                                              ) C:\Users\Иван\AppData\Local\Temp\SecurityMonitorPro.exe
2016-07-22 16:07 - 2011-05-11 18:19 - 000607800 ____R (HP) C:\Users\Иван\AppData\Local\Temp\siinst.exe
2016-07-22 16:07 - 2011-05-06 04:26 - 000270336 ____R (HP) C:\Users\Иван\AppData\Local\Temp\strings.dll
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{00b02060-f1f7-492d-a778-d4d2713fabd8}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_2CD0_ba.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{07094190-84d8-4baa-a3a7-2aefea5258d0}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_1AF5_18.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{0a598a1f-11e8-40ad-8f4b-274032ee2a93}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_7404_48.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{17f5997e-ee53-44ab-8ac2-2159c1903ed1}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_7404_48.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{2967905f-ecf3-409f-8019-25b5fccfe72b}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_2CD0_ba.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{299d01f2-df53-4711-8286-1d450e29df33}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_2CD0_ba.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{2d0b4c81-4b7b-4f24-b900-a8fa891048bb}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_89A8_4b.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{31f0d30a-b87e-4c09-8eb8-6d3dcf3ff677}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_89A8_4b.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{38b45e1d-d9e4-40c0-bc24-d483b002c3a9}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_EB1F_93.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{4731b7ef-4c59-4151-af2b-ab213ac6ad6b}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_7404_48.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{49effcfe-e5bc-44ca-a7d8-e02c8ded5b12}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_1AF5_18.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{50e5e585-72f0-411d-a6e2-311c88a844e1}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_89A8_4b.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{5896c818-f87a-444f-a5a0-155a09cc8dee}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_1AF5_18.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{84c4ebb7-2931-46c1-9150-325bb5d88bd7}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_1AF5_18.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{85704148-a6c0-4a36-bb16-601a32bc345a}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_EB1F_93.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{930e573d-7b3f-4325-b6f4-afc57d96f241}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_EB1F_93.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{94f2b2bc-6bf1-40b9-a1e4-73b23c8ecd1e}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_7404_48.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{a95debcb-79ff-4f86-a826-149e46013e3b}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_89A8_4b.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{ba622d4c-73b4-4328-abab-53712e0710d7}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_89A8_4b.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{c06ac6b9-2168-46eb-b8af-06e04c3285c0}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_1AF5_18.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{c0d9e8de-0c5f-45a4-9412-095993179c52}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_EB1F_93.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{cbb584c0-d082-4ea4-930f-1a395092c8fa}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_2CD0_ba.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{ce3cc09b-5e51-47fe-88e6-ca2068d12657}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_2CD0_ba.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{ea31ff63-b2b7-468b-b83a-585632d1f4d4}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_EB1F_93.tmp => No File
CustomCLSID: HKU\S-1-5-21-777735583-2100714772-664254183-1000_Classes\CLSID\{fd8bec61-dc98-4d29-8194-022271386a90}\InprocServer32 -> C:\Users\Иван\AppData\Local\Temp\v8_7404_48.tmp => No File
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Иван\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Иван\AppData\Roaming:iSpring Solutions [128]
Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Snak3EyeS92
      Подозрительная сетевая активность
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • foroven
      Обнаружена сетевая атака
      Автор foroven
      Добрый день. После того как мы словили вирус шифровальщик и был установлен антивирусный продукт лаборатории Касперского, в его журнале каждый час стали появляться записи о сетевой атаке. Причем адрес атакующего компьютера это Linux-система с установленным Kerio Control. Может ли Касперсий так реагировать на его работу? Или он может быть заражен? Спасибо.
    • para87
      растет папка system32
      Автор para87
      Я обнаружил что системная папка Windows  стала весить  200+ гб Я ОФЕГЕЛ КАК ТАК . Я удалил  через выполнить весь  %temp% и  %WinDir%\Temp также точки восстановления. После перезагрузки папка windows стала в норму. А дальше в течении 5 чесов работы  пк папка system32 стала увеличивается  и также растет до 100+ гб перегружаем комп и диск освобождается. Дальше ПК работает файлы снова растут в папке system32. за 5 чёсов папка разрослась до 100+гб.  перегружаем пк и снова диск освободился  ПК работает и снова начала расти в папка system32. до 100гб+ В диспетчере задач активность дика С была в мб/с в простои пк. Не долго думая я удалил раздел диска  "С" И переустановил Windows.  Щас все прекратилось больше папка не растет активность диска в диспетчере стало в кб/с а была в мб/с.  И что такое могло быть? Касперский + при полной проверки не чего не находил.  Система такая Windows 11 Pro  сборка 26100.3323. Щас все хорошо написал потому что меня такое очень удивила что это такое было кто сталкивался с таким напашите может я зря венду снес.
      Windows
    • imperiose
      Нет доступа к сети у пользователей при работе сетевого экрана
      Автор imperiose
      Добрый день. В политике на KSC настроены правила на сетевом экране, самым последним размещается блокировка трафика, выше есть правила на доступ вх/исх трафик и в локальных адресах прописаны пулы адресов локальных сегментов.
      При включении пк, клиент не успевает получить адрес по dhcp, т.к сетевой экран блокирует все подключения.
      Подскажите, как избежать этого или какое правило нужно прописывать, что бы не блокировался весь трафик внутри сети еще до момента получения ip.

    • Антон_63ru
      Зашифрованы файлы в сетевых папках файлообменника (pussylikeashavel@cyberfear.com)
      Автор Антон_63ru
      Зашифрованы файлы в сетевых файлах на  файлообменнике,  на нем два сетевых интерфейса смотрят в разные локальные сетки..
      в той сетке куда имею доступ "нулевого пациента" нет . Коллеги уверяют, что у них тоже все ок..(
      на самом файлообменнике в нерасшаренных папках файлы WORD и EXCEL не зашифрованы
      Addition.txt crypted_file.7z FRST.txt
×
×
  • Создать...