Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Зашифрованы все файлы veracrypt@foxmail.com

novosadov.e
 Share Подписчики 0

Рекомендуемые сообщения

novosadov.e

novosadov.e 0

Опубликовано
Опубликовано (изменено)

Здравствуйте. На компьютер попал шифровальщик veracrypt@foxmail.com, зашифровал все файлы и программы, пожалуйста помогите с расшифровкой. Логи прилагаю 

CollectionLog-2019.05.27-08.27.zip

Изменено пользователем novosadov.e
Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Здравствуйте,

С расшифровкой скорее всего не поможем.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [1Vera.exe] = C:\Windows\System32\1Vera.exe
O4 - HKLM\..\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Egor\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\alert_removal.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\1Vera.exe','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Windows\System32\1Vera.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Info.hta','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
novosadov.e

novosadov.e 0

Опубликовано
  • Автор
Опубликовано

 

Здравствуйте,

 

С расшифровкой скорее всего не поможем.

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [1Vera.exe] = C:\Windows\System32\1Vera.exe
O4 - HKLM\..\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Egor\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\alert_removal.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\1Vera.exe','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Windows\System32\1Vera.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Info.hta','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKLM\...\Run: [1Vera.exe] => C:\Windows\System32\1Vera.exe [94720 2019-05-27] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13928 2019-05-27] () [File not signed]
HKLM\...\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] => C:\Users\Egor\AppData\Roaming\Info.hta [13928 2019-05-27] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe [2019-05-27] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-05-27] () [File not signed]
Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe [2019-05-27] () [File not signed]
Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-05-27] () [File not signed]
File: C:\Windows\alert_removal.exe
U3 ar7luw8u; no ImagePath
2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ C:\Windows\system32\Info.hta
2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ C:\Users\Egor\AppData\Roaming\Info.hta
2019-05-26 14:57 - 2019-05-27 09:01 - 000000176 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-05-26 14:57 - 2019-05-27 09:01 - 000000176 _____ C:\FILES ENCRYPTED.txt
File: C:\Users\Egor\AppData\Roaming\1Vera.exe
Zip: C:\Users\Egor\AppData\Roaming\1Vera.exe
2019-05-26 14:48 - 2019-05-27 08:52 - 000094720 _____ C:\Users\Egor\AppData\Roaming\1Vera.exe
2019-05-26 12:28 - 2019-05-27 12:29 - 000094720 _____ C:\Windows\system32\1Vera.exe
2019-05-26 13:14 - 2017-11-26 13:39 - 000000000 ____D C:\Users\Novosadov\AppData\Roaming\DRPSu
2019-05-26 12:53 - 2019-04-21 18:10 - 000000000 ____D C:\Users\Все пользователи\mia735E.tmp
2019-05-26 12:53 - 2019-04-21 18:10 - 000000000 ____D C:\ProgramData\mia735E.tmp
2019-05-26 14:48 - 2019-05-27 08:52 - 000094720 _____ () C:\Users\Egor\AppData\Roaming\1Vera.exe
2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ () C:\Users\Egor\AppData\Roaming\Info.hta
FirewallRules: [{534ADF4A-ACC1-4059-B503-64B6FA1B9CE3}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
FirewallRules: [{0A0D4823-3449-4055-9EDA-87A2C873E204}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
FirewallRules: [{B22CEA0B-EC82-41B2-8073-54BF1118451F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
FirewallRules: [{4FE657A1-71A3-43A8-8E07-E4723E729411}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
FirewallRules: [{2A55702D-4741-4422-8A38-4B11CD160369}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
FirewallRules: [{2110E95D-C9EF-4DA7-82AB-88DC344C7308}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
FirewallRules: [{8FB01CFE-06B3-44B7-8CA4-6D3162382CF5}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
FirewallRules: [{32421CB7-F7E3-4EB6-B54F-C1591DC8307B}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
FirewallRules: [{5C4DC9B7-700D-4E8B-97D0-80A9EE523D19}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe No File
FirewallRules: [{0EE2AA30-CAD9-444E-B681-51B8ADD8C7EB}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe No File
FirewallRules: [{3E664A02-D99C-493E-9EC2-D51BA8E7E485}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
FirewallRules: [{BA164CB2-9710-4E33-BDCE-3C07978C240A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
FirewallRules: [{869EE8B4-DA8D-4F4C-BE89-FA00C21ABCAA}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
FirewallRules: [{B3A70AD7-4499-4735-9CF9-13F584E0CB81}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
FirewallRules: [{D1FE5949-E5C4-4332-9A2A-BC066EF43AF5}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
FirewallRules: [{58193E5C-6EDF-45B1-BDBF-074014B196E7}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
FirewallRules: [{17CF4EB1-6F95-412B-88AE-F8A417A67CA4}] => (Allow) C:\Users\Egor\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
FirewallRules: [{45700CBC-468D-49A1-8C5B-B386F7BADD2B}] => (Allow) C:\Program Files (x86)\InfoTeCS\ViPNet Client\Itcsnatproxy.Exe No File
FirewallRules: [{75D90D81-58C9-4949-9D58-E395E5FD5D74}] => (Allow) C:\Program Files (x86)\InfoTeCS\ViPNet Client\Monitor.exe No File
FirewallRules: [{3FB65231-7710-4B52-BD67-79C2928A165D}] => (Allow) C:\Program Files\Firebird\Firebird_3_0\firebird.exe No File
FirewallRules: [{0C03CDBA-8DDA-413A-B6F5-4FC8CEDEBBC5}] => (Allow) C:\Program Files\Firebird\Firebird_3_0\firebird.exe No File
FirewallRules: [{E700EFF3-FBF5-4AC3-A1C2-901660F7A519}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
FirewallRules: [{366D29FD-493D-41F8-9FD7-B968095060E4}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
FirewallRules: [{8273A051-640C-4A16-82BD-C3D913665C81}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
FirewallRules: [{D58274D0-548E-4586-A442-AC269A2584FA}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
FirewallRules: [{F1E19088-1711-4EC2-B0F9-653E2B75E5DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
FirewallRules: [{21CB181A-024E-4DE9-907D-65A57951B7E3}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
FirewallRules: [{4CC43B97-DA17-47CD-A0D4-C9560B8FD5DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
FirewallRules: [{98507993-6AEE-488B-A834-687D742C4B59}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
FirewallRules: [{D8A3AB48-1A19-449D-A6C4-A51788C0C348}] => (Allow) C:\Windows\Temp\SmartFix\wget.exe No File
FirewallRules: [{36996963-7CA9-463A-A7F0-9020EE6C8FB9}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
FirewallRules: [{A4CC2098-C4D7-41D8-A796-FA1AAD6695D7}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
FirewallRules: [{AE3724D7-D62B-4DDB-A088-1F2A292EBD7F}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
FirewallRules: [{9F543B0C-4BBB-423B-801B-194327EC4C58}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
FirewallRules: [{87A42FC3-2902-420A-AEF1-047F6D8966DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
FirewallRules: [{62527871-EC32-40B4-AE10-6889370D5AF3}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
FirewallRules: [{2A1D88D3-6260-4A0E-9C48-08AB9E1F49F0}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
FirewallRules: [{228EBB14-1E40-4218-8B8D-4E2F51D0D24A}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
FirewallRules: [{A00248A8-9060-4986-8EAA-41580AE731CE}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
FirewallRules: [{2F345BA4-CD8A-4EF3-9AC4-4E2C800C1F36}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
FirewallRules: [{1C1A2C11-CE68-4634-B244-6630E72E7D6A}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe No File
FirewallRules: [{CB2C6F93-7909-4088-8C3E-D9E26BDC241D}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe No File
FirewallRules: [{438D2DFA-E29F-4355-8A80-2850CCB3D62D}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.32.922\AlibabaProtect.exe No File
FirewallRules: [{733AE15F-F8B1-4D4F-8F17-F4B3CC2E0844}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.32.922\AlibabaProtect.exe No File
FirewallRules: [{F618D205-46A4-40AB-8267-C6E7765EA8D2}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
FirewallRules: [{9F98EB0D-52BB-4078-8013-FC790D376283}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
FirewallRules: [{001E38A2-BC83-468A-864B-F5EC929FC34B}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
FirewallRules: [{B7D13E9B-7298-4720-8A39-6EC06DBEBA8F}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
FirewallRules: [{AECF3D96-FA50-4D01-B4D3-C2840C926EEB}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
FirewallRules: [{2665403C-93FE-4D7F-A8D6-297A23C30639}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
FirewallRules: [{6CDD35D2-190E-4F3F-A6CA-4C01CB582ED8}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite 2018\Programs64\CorelDrw.exe No File
FirewallRules: [{8268C379-FB23-4B26-8DC3-C64B9F8FFC16}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite 2018\Programs64\CorelPP.exe No File
FirewallRules: [{13F87F44-9029-44A7-83BB-AC2529EFB789}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
FirewallRules: [{0F007303-E61E-4698-B2BB-A40A09F30476}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
FirewallRules: [{0DEFE042-9128-48AB-B582-B6C5DD9AFE70}] => (Allow) C:\Program Files\Opera\58.0.3135.127\opera.exe No File
FirewallRules: [{EC6935C8-78DE-4C2C-9008-1792581B05B6}] => (Allow) C:\Program Files\Opera\58.0.3135.132\opera.exe No File
FirewallRules: [{A8DF5591-6D81-4E46-A334-318951B7463A}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
FirewallRules: [{64F35D3B-D2B7-4DB0-9F99-29EF7DD63757}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
FirewallRules: [{31BE1896-058F-42BA-ABAF-08946B5034A3}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
FirewallRules: [{A36C2016-CC5F-4CE2-A491-1511B7AF0436}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
FirewallRules: [{E041DBAD-B4B6-4DCC-8693-362A50FDAA68}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
FirewallRules: [{86928520-4A6E-4DC1-A80D-16E715CF6CB7}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
FirewallRules: [{BCBD792B-A126-4BD8-BE1D-5713E21A5078}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
FirewallRules: [{19379C63-6855-4DA8-B350-0410B93536BC}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
FirewallRules: [{9B6E3975-9173-4505-9CD7-0982984720FE}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
FirewallRules: [{F5B7F693-D165-4AAA-956A-B6753C75805D}] => (Allow) C:\Users\Egor\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
Reboot:
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке данную форму

 

Обратите внимание на следующие события:

Error: (05/27/2019 12:30:27 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:26 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:26 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:25 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:25 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Ссылка на сообщение
Поделиться на другие сайты
novosadov.e

novosadov.e 0

Опубликовано
  • Автор
Опубликовано

Сделано. Я правильно понимаю что все эти мероприятия направлены на удаление вируса? Или к дешифровке это тоже относится? 

EGOR_2019-05-28_15-11-58_v4.1.5.7z

Ссылка на сообщение
Поделиться на другие сайты
SQ

SQ 785

Опубликовано
Опубликовано

Сделано. Я правильно понимаю что все эти мероприятия направлены на удаление вируса?

Да, чтобы шифровальшик не продолжал шифровать файлы.

 

Или к дешифровке это тоже относится?

К сожалению, на данном этапе мы не можем помочь с расшифровкой, это касается только расшифровка силами добровольцев на форуме. Но вам лучше написать еще в тех. поддержку лаборатории Касперского согласно следующей инструкции:

 

https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Tadmin
      [РАСШИФРОВАНО] Помощь с восстановлением файлов после шифровальщика hopeandhonest@smime.ninja
      От Tadmin
      Около года или двух назад один из наших корпоративных пк был заражен шифровальщиком, на нем хранилось множество фотографий, которые зашифровались, тот пк был сразу отформатирован, но перед этим зашифрованные файлы были перемещены, сейчас в них появилась нужда, прикрепляю пример зашифрованных файлов.
      hopeandhonest@smime.ninja.zip
    • DimonD
      [РАСШИФРОВАНО] Поймали шифровальщик
      От DimonD
      Добрый день. Помогите пожалуйста с расшифровкой файлов? так же на сервак ктото споймал эту гадость. 
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
    • JhonD
      шифровальщик Jami_decryptionguy
      От JhonD
      Добрый день, посмотрите, есть ли надежда на восстановление файлов. 
      Addition.txt CONTACT_US.txt FRST.txt АКТ на списание ГСМ.DOCX
    • upvpst
      DCHELP.org
      От upvpst
      Добрый день! В сеть проник зловред подробно описанный по ссылке https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html.
      Возможности зайти на сервер нет, так как файловые системы отображаются как нечитаемые. Пробуем вытащить файлы через R-Studio, Disk Drill и иные утилиты восстановления данных. Сталкивался ли кто-то еще с этими гадами? Есть ли выход?

×
×
  • Создать...