Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Помогите , поймал вирус Ransom.74e, все файлы зашифрованы. Есть ли возможность их расшифровать? файлы прилагаю. пароль от архива с вирусом: virus

FRST.txt svcabb.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Прикрепите дополнительно 2-3 зашифрованных документа в архиве вместе с одним из файлов how_to_decrypt.hta

А также второй лог Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Это

Цитата

C:\Users\zakup\Desktop\эмми\AmmyAdmin_v3.5.exe

ваше?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\Run: [B27B1794-CB65CA35hta] => c:\users\zakup\appdata\local\temp\how_to_decrypt.hta <==== ATTENTION
    HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\MountPoints2: {80c67549-6689-11e4-8fd0-806e6f6e6963} - E:\DVDSetup.exe
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {16FDCA74-CB91-4A1C-AEF7-BE17D274C1E1} - System32\Tasks\{CE90EB6D-5DF3-4F20-A46A-4F6DB70B9660}
    Task: {750B82FB-0A46-4646-8FF4-3D18473DED07} - System32\Tasks\updateTask => c:\task.vbs
    Task: {78B0E986-4943-42A5-B1F8-499342114CD2} - System32\Tasks\{2EFE290B-6508-42E9-84BF-77F9FDAE80F6}
    Task: {AC3E1AFE-B270-4F4E-8BA4-8F1FDF735111} - \RestoreSearch -> No File <==== ATTENTION
    2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\Local\how_to_decrypt.hta
    2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\how_to_decrypt.hta
    2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\Downloads\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Documents\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Desktop\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\how_to_decrypt.hta
    2020-10-27 03:16 - 2020-10-27 03:16 - 000005913 _____ C:\how_to_decrypt.hta
    2020-10-27 03:13 - 2020-10-27 03:13 - 000005913 _____ C:\Users\Новая папка\how_to_decrypt.hta
    2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\how_to_decrypt.hta
    2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 03:11 - 2020-10-27 03:11 - 000005913 _____ C:\Users\zakup\Downloads\how_to_decrypt.hta
    2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Documents\how_to_decrypt.hta
    2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Desktop\how_to_decrypt.hta
    2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\how_to_decrypt.hta
    2020-10-27 02:59 - 2020-10-27 02:59 - 000005913 _____ C:\Users\zakup\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\Apps\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\Downloads\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Documents\how_to_decrypt.hta
    2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Desktop\how_to_decrypt.hta
    2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\how_to_decrypt.hta
    2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:34 - 2020-10-27 02:34 - 000005913 _____ C:\Users\Public\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-10-27 02:32 - 2020-10-27 02:32 - 000005913 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
    2020-10-27 02:16 - 2020-10-27 02:16 - 000005913 _____ C:\Users\how_to_decrypt.hta
    FirewallRules: [{CD657494-7D6F-45CD-8952-CF13B6EB021E}] => (Allow) LPort=9422
    FirewallRules: [{C731503C-E760-461C-B25C-90E86053CE28}] => (Allow) LPort=9245
    FirewallRules: [{75639381-1C82-4265-9597-A17A810C320C}] => (Allow) LPort=9246
    FirewallRules: [{FF3D932A-3CA5-4AE1-A7D9-4CD3887F8856}] => (Allow) LPort=9247
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...