scarab шифровальщик savefile365@nuke.africa

27 июля, 2020

Добрый день! Поймали шифровальщик. Имена файлов зашифрованы, расширение .saved

27 июля, 2020

Здравствуйте!

Расшифровки скорее всего нет.

Пароли на RDP смените.

Очистим хвосты и мусор:

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:

HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\Run: [Windows Update Manager] => C:\Users\Татьяна\AppData\Roaming\winupmgr.exe [44544 2020-07-25] () [File not signed]
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\Run: [mJufM] => C:\Users\Татьяна\Инструкция.TXT [3004 2020-07-25] () [File not signed]
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {42664145-cef1-11e9-8f67-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {4a76a01c-ba6d-11e9-adbf-e03f4946e60e} - F:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {9bb3276f-4ef6-11ea-943e-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {9bb327b6-4ef6-11ea-943e-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582713-a46e-11e9-a38d-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582725-a46e-11e9-a38d-e03f4946e60e} - F:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a0582738-a46e-11e9-a38d-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {a2127c37-cef0-11e9-8a16-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {ba8e450e-a6ca-11e9-9f9e-e03f4946e60e} - E:\start.exe
HKU\S-1-5-21-3824878808-928637892-3016472417-1000\...\MountPoints2: {fd2905ac-af71-11e9-a918-e03f4946e60e} - E:\start.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-3824878808-928637892-3016472417-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-3824878808-928637892-3016472417-1000 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
CHR HKU\S-1-5-21-3824878808-928637892-3016472417-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kmibfmmikhbomjcihhmfndldkolomdpm]
2020-07-25 19:40 - 2020-07-25 22:59 - 000003004 _____ C:\Users\Татьяна\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 22:59 - 000003004 _____ C:\Users\Татьяна\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Татьяна\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Татьяна\Documents\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\РўР°С‚СЊСЏРЅР°\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Гость\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Гость\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Documents\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\вку\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Documents\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\БухГладиус\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Documents\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\Temp\Desktop\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\rdp3\Downloads\Инструкция.TXT
2020-07-25 19:40 - 2020-07-25 19:40 - 000003004 _____ C:\Users\rdp3\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Все пользователи\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp3\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp3\Desktop\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Downloads\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp2\Desktop\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Downloads\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\rdp\Desktop\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Downloads\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\Users\Public\Documents\Инструкция.TXT
2020-07-25 19:38 - 2020-07-25 19:38 - 000003004 _____ C:\ProgramData\Documents\Инструкция.TXT
2020-07-25 19:26 - 2020-07-25 19:26 - 000003004 _____ C:\Program Files (x86)\Инструкция.TXT
2020-07-25 19:22 - 2020-07-25 19:22 - 000003004 _____ C:\Program Files\Инструкция.TXT
2020-07-25 19:21 - 2020-07-25 19:21 - 000044544 _____ C:\Users\Татьяна\AppData\Roaming\winupmgr.exe
FirewallRules: [{1AC71907-EE65-4DF8-A5BF-A389E6B2B115}] => (Allow) LPort=2869
FirewallRules: [{724626FA-006A-4C93-9B39-961124E2DC50}] => (Allow) LPort=1900
FirewallRules: [{C29B6E64-3154-4E55-A609-75B5C983A5A5}] => (Allow) LPort=9422
FirewallRules: [{9F03B1FC-FB88-43F4-B903-E780F0F80D9D}] => (Allow) LPort=9245
FirewallRules: [{46A1A6BD-A24E-4CD1-901D-991B7CDA7D9A}] => (Allow) LPort=9246
FirewallRules: [{38C97D62-820D-48A0-ACD2-70188919E6A0}] => (Allow) LPort=9247
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

27 июля, 2020

Печально, спасибо.

27 июля, 2020

Скрипт выполните, т.к. вымогатель похоже ещё активен.

scarab шифровальщик savefile365@nuke.africa

Рекомендуемые сообщения

Yazon

Sandor

Yazon

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum