Перейти к содержанию

Зашифровано [graff_de_malfet@protonmail.ch]

GarryGorbunov
 Share

Рекомендуемые сообщения

SQ Гигант мысли

SQ

Опубликовано
Опубликовано

пришел ответ от ВирЛаба:

  

sys.dll -  Not-a-virus:HEUR:RiskTool.Win32.BitMiner
assm.dat - HEUR:Trojan-Downloader.MSIL.Miner.gen
Windows Update Service.exe - not-a-virus:RiskTool.Win32.BitMiner.gen
MicrosoftAgentService.exe - HEUR:Trojan.MSIL.Starter.gen

 

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
     
      
    Start::
CreateRestorePoint:
CloseProcesses:
R2 Microsoft Agent Service; C:\Windows\system32\Microsoft Agent Service\MicrosoftAgentService.exe [11776 2020-04-18] () [File not signed]
R2 Windows Host Service; C:\Windows\system32\Windows Host Service\WindowsHostService.exe [12800 2020-04-18] () [File not signed]
FF Plugin HKU\S-1-5-21-89793648-2917968068-3212671060-1001: @skbkontur.ru/diagplugin -> C:\Users\Бухгалтер\AppData\Local\SkbKontur\DiagPlugin\3.0.23.207\npapikd.dll [No File]
Folder: C:\Users\Бухгалтер\AppData\Local\CrashDumps
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Downloads\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Documents\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\Desktop\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\LocalLow\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\Local\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Мишанин-ПК\AppData\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\Downloads\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\Documents\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\LocalLow\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\Users\Бухгалтер\AppData\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ C:\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\Бухгалтер\AppData\Local\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Downloads\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Documents\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\Desktop\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\LocalLow\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Все пользователи\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\WIN-DB9PGBI2K9D\AppData\Local\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Documents\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Documents\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default\AppData\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
2020-06-08 01:13 - 2020-06-08 01:13 - 000007355 _____ C:\ProgramData\how_to_decrypt.hta
2020-06-08 01:12 - 2020-06-08 01:12 - 000007355 _____ C:\Users\how_to_decrypt.hta
() [File not signed] C:\Windows\System32\Windows Host Service\WindowsHostService.exe
() [File not signed] C:\Windows\System32\Microsoft Agent Service\MicrosoftAgentService.exe
2020-05-18 22:36 - 2020-06-08 12:30 - 000034816 _____ () C:\Windows\system32\assm.dat
2020-05-18 22:35 - 2020-05-18 22:35 - 001956046 _____ C:\Windows\system32\sys.dll
Folder: C:\Windows\system32\Windows Host Service
Folder: C:\Windows\System32\Microsoft Agent Service
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Roaming\how_to_decrypt.hta
2020-06-08 01:23 - 2020-06-08 01:23 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Roaming\Microsoft\how_to_decrypt.hta
2020-06-08 01:14 - 2020-06-08 01:14 - 000007355 _____ () C:\Users\Бухгалтер\AppData\Local\how_to_decrypt.hta
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers1_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers4_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
ContextMenuHandlers5_S-1-5-21-89793648-2917968068-3212671060-1001: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Users\Бухгалтер\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll -> No File
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST/FRST64 (от имени администратора).

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .

  • Обратите внимание, что компьютер будет перезагружен.

 

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

К сожалению расшифровка нашими силами не возможна.

Смените все пароли. Если у Вас есть лицензия на продукты Лаборатории Касперского попробуйте создать запрос.




 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Федор45
      Базы зашифрованы
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • madlab
      Зашифрованы диски
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • whoamis
      Зашифровало сервер сегодня
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      Зашифровали данные
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...