Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Помогите , поймал вирус Ransom.74e, все файлы зашифрованы. Есть ли возможность их расшифровать? файлы прилагаю. пароль от архива с вирусом: virus

FRST.txt svcabb.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Прикрепите дополнительно 2-3 зашифрованных документа в архиве вместе с одним из файлов how_to_decrypt.hta

А также второй лог Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Это

Цитата

C:\Users\zakup\Desktop\эмми\AmmyAdmin_v3.5.exe

ваше?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\Run: [B27B1794-CB65CA35hta] => c:\users\zakup\appdata\local\temp\how_to_decrypt.hta <==== ATTENTION
    HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\MountPoints2: {80c67549-6689-11e4-8fd0-806e6f6e6963} - E:\DVDSetup.exe
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {16FDCA74-CB91-4A1C-AEF7-BE17D274C1E1} - System32\Tasks\{CE90EB6D-5DF3-4F20-A46A-4F6DB70B9660}
    Task: {750B82FB-0A46-4646-8FF4-3D18473DED07} - System32\Tasks\updateTask => c:\task.vbs
    Task: {78B0E986-4943-42A5-B1F8-499342114CD2} - System32\Tasks\{2EFE290B-6508-42E9-84BF-77F9FDAE80F6}
    Task: {AC3E1AFE-B270-4F4E-8BA4-8F1FDF735111} - \RestoreSearch -> No File <==== ATTENTION
    2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\Local\how_to_decrypt.hta
    2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\how_to_decrypt.hta
    2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\Downloads\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Documents\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Desktop\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\how_to_decrypt.hta
    2020-10-27 03:16 - 2020-10-27 03:16 - 000005913 _____ C:\how_to_decrypt.hta
    2020-10-27 03:13 - 2020-10-27 03:13 - 000005913 _____ C:\Users\Новая папка\how_to_decrypt.hta
    2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\how_to_decrypt.hta
    2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 03:11 - 2020-10-27 03:11 - 000005913 _____ C:\Users\zakup\Downloads\how_to_decrypt.hta
    2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Documents\how_to_decrypt.hta
    2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Desktop\how_to_decrypt.hta
    2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\how_to_decrypt.hta
    2020-10-27 02:59 - 2020-10-27 02:59 - 000005913 _____ C:\Users\zakup\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\Apps\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\Downloads\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Documents\how_to_decrypt.hta
    2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Desktop\how_to_decrypt.hta
    2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\how_to_decrypt.hta
    2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:34 - 2020-10-27 02:34 - 000005913 _____ C:\Users\Public\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-10-27 02:32 - 2020-10-27 02:32 - 000005913 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
    2020-10-27 02:16 - 2020-10-27 02:16 - 000005913 _____ C:\Users\how_to_decrypt.hta
    FirewallRules: [{CD657494-7D6F-45CD-8952-CF13B6EB021E}] => (Allow) LPort=9422
    FirewallRules: [{C731503C-E760-461C-B25C-90E86053CE28}] => (Allow) LPort=9245
    FirewallRules: [{75639381-1C82-4265-9597-A17A810C320C}] => (Allow) LPort=9246
    FirewallRules: [{FF3D932A-3CA5-4AE1-A7D9-4CD3887F8856}] => (Allow) LPort=9247
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От nik_koval
      компьютер был заражен трояном вида cryakl(предположительно) и зашифровал все пользовательские файлы на компьютере. каждый файл был дописан этим - [paybackformistake@qq.com].[BD72D4C5-98B51E94]
      пароль к архивам -   nik-pc
      crypted_files_and_ransom_note.zip logs_frst_addition.zip
    • От Sanchiss
      Коллеги, приветствую. Поймал шифровальщика Ransom:Win32/FileCryptor.K!MTB который зашифровал мои файлы и пару баз 1С, приписав к названию файлов [paybackformistake@qq.com].[7162CE8F-FF328F18] и разместив везде файл how_to_decrypt.hta. Подскажите как можно дешифровать свои файлы? Воспользовался несколькими нашими утилитами Касперского, но они не смогли это сделать.
       
      Сам троян работал из каталога bug (скриншот прикладываю) через RDP через существующую учётку пользователя - видно как-то увели пароль. Скриншот приложил. Образец файлов в архиве тоже.

      123.rar
    • От bxz1ngx
      Помогите устранить эту проблему,пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из "Технический раздел".
    • От FarshikARC
      Словили вирус шифровальщик, как и почему пока не разобрались. по скринам поход на crylock. но подобрать программу для дешифровки не вышло, по этому предполагаю что он модифицирован. https://cloud.mail.ru/public/B6iu/vtpYdA7QJ - скриншот. Логи с Farbar Recovery Scan Tool в архиве, так же 2 зашифрованных файла. это файлы апачи 2.4 так что если нужны будут оригиналы могу приложить. Еще в архиве .exe который и объясняет как связаться с вымогателями. Вроде все. Пароль к архиву: virus
       
      123 (1).rar
    • От shon_kostja
      Добрый день. Та же проблема поймали шифровальщик. Прилагаю оригинальный файл и зашифрованный
      11.zip
×
×
  • Создать...