scarab Шифровальщик *.lbkut - случай №2

[Степан Вояджер]

Столкнулся с шифрованием в формат *.lbkut после запуска файла (хотя до конца я его так и не запустил, сказал нет в диалоге с Вин, но это не спасло). Вылез через время файл текстовый и зашифровались все данные. Прикладываю Текстовый файл мошенников и файл протоколов.

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT

CollectionLog-2019.10.28-17.18.zip

[Sandor]

Здравствуйте!

 

Два антивируса - много

GridinSoft Anti-Malware

Kaspersky Security Cloud

Один оставьте, один деинсталлируйте.

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [hetvuEz] = C:\Windows\system32\notepad.exe "C:\Users\semen\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT"

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

[Степан Вояджер]

Пофиксил

Фалйы прикрепляю

FRST.txt

Addition.txt

Изменено 28 октября, 2019 пользователем Степан Вояджер

[Sandor]

Проверьте все ли администраторы системы ваши. При необходимости, отредактируйте и смените пароли.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-3762973121-4158042636-280083559-1009\...\MountPoints2: {931685ee-8445-11e9-aef2-001a7dda7113} - "D:\HiSuiteDownLoader.exe" 
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-21-3762973121-4158042636-280083559-1009\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  C:\Users\semen\AppData\Local\Google\Chrome\User Data\Default\Extensions\bejnpnkhfgfkcpgikiinojlmdcjimobi
  CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
  2019-10-28 16:23 - 2019-10-28 16:23 - 000001916 _____ C:\Users\semen\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
  2019-10-28 16:22 - 2019-10-28 16:23 - 000001916 _____ C:\Users\semen\Downloads\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
  2019-10-28 16:21 - 2019-10-28 16:23 - 000001916 _____ C:\Users\semen\Desktop\ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT
  AlternateDataStreams: C:\Users\1\Desktop\1212.jpeg:3or4kl4x13tuuug3Byamue2s4b [107]
  AlternateDataStreams: C:\Users\1\Desktop\1212.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\1\Desktop\15987.jpeg:3or4kl4x13tuuug3Byamue2s4b [107]
  AlternateDataStreams: C:\Users\1\Desktop\15987.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\1\Desktop\4545.jpeg:3or4kl4x13tuuug3Byamue2s4b [107]
  AlternateDataStreams: C:\Users\1\Desktop\4545.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Степан Вояджер]

Сделал, прикрепляю

Fixlog.txt

[Sandor]

Если сделали запрос в ЛК, ответ сообщите здесь, пожалуйста.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Степан Вояджер]

Нет, в ЛК запрос не делал.

Прикрепляю

SecurityCheck.txt

[Sandor]

Судя по сообщению в соседней теме, пользователю там помогли.

 

Напоминаю:

Проверьте все ли администраторы системы ваши. При необходимости, отредактируйте и смените пароли

а также пароли на RDP тоже смените.

 

------------------------------- [ Windows ] -------------------------------

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

Foxit Reader 7.3.0.118 v.v 7.3.0.118 Внимание! Скачать обновления

^Локализованные версии могут обновляться позже англоязычных!^

Microsoft Office Excel 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

K-Lite Mega Codec Pack 12.0.1 v.12.0.1 Внимание! Скачать обновления

TeamViewer 11 v.11.0.56083 Внимание! Скачать обновления

Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

-------------------------------- [ Arch ] ---------------------------------

WinRAR 5.31 v.5.31 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 74 (64-bit) v.8.0.740.2 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u231-windows-x64.exe)^

Java 8 Update 74 v.8.0.740.2 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u231-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 21 ActiveX & Plugin 64-bit v.21.0.0.182 Внимание! Скачать обновления

^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 68.0.2 (x64 ru) v.68.0.2 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Mozilla Firefox 69.0.1 (x64 ru) v.69.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Google Chrome v.77.0.3865.120 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------

YTD Video Downloader 5.9.11 v.5.9.11 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

[Степан Вояджер]

Судя по сообщению в соседней теме, пользователю там помогли.

 

Напоминаю:

Проверьте все ли администраторы системы ваши. При необходимости, отредактируйте и смените пароли

а также пароли на RDP тоже смените.

 

Да, но у меня, к сожалению, нет действующей лицензии ни на один из продуктов. Администраторы все свои.

Или я могу без лицензии в ЛК запросить?

[Sandor]

Пройдите по предложенной ссылке, там есть ответ на этот вопрос.