Перейти к содержанию

Рекомендуемые сообщения

Виталий Голенко

Здравствуйте. Помогите , поймал вирус Ransom.74e, все файлы зашифрованы. Есть ли возможность их расшифровать? файлы прилагаю. пароль от архива с вирусом: virus

FRST.txt svcabb.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Прикрепите дополнительно 2-3 зашифрованных документа в архиве вместе с одним из файлов how_to_decrypt.hta

А также второй лог Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, расшифровки этой версии вымогателя нет.

Помощь в очистке системы от его следов нужна или планируете переустановку?

Ссылка на сообщение
Поделиться на другие сайты

Это

Цитата

C:\Users\zakup\Desktop\эмми\AmmyAdmin_v3.5.exe

ваше?

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\Run: [B27B1794-CB65CA35hta] => c:\users\zakup\appdata\local\temp\how_to_decrypt.hta <==== ATTENTION
    HKU\S-1-5-21-2688731446-4175719952-3028488121-1000\...\MountPoints2: {80c67549-6689-11e4-8fd0-806e6f6e6963} - E:\DVDSetup.exe
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {16FDCA74-CB91-4A1C-AEF7-BE17D274C1E1} - System32\Tasks\{CE90EB6D-5DF3-4F20-A46A-4F6DB70B9660}
    Task: {750B82FB-0A46-4646-8FF4-3D18473DED07} - System32\Tasks\updateTask => c:\task.vbs
    Task: {78B0E986-4943-42A5-B1F8-499342114CD2} - System32\Tasks\{2EFE290B-6508-42E9-84BF-77F9FDAE80F6}
    Task: {AC3E1AFE-B270-4F4E-8BA4-8F1FDF735111} - \RestoreSearch -> No File <==== ATTENTION
    2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 13:39 - 2020-10-27 13:39 - 000005913 _____ C:\Users\Secretary01\AppData\Local\how_to_decrypt.hta
    2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\how_to_decrypt.hta
    2020-10-27 13:29 - 2020-10-27 13:29 - 000005913 _____ C:\Users\Secretary01\Downloads\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Documents\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\Desktop\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 13:27 - 2020-10-27 13:27 - 000005913 _____ C:\Users\Secretary01\AppData\how_to_decrypt.hta
    2020-10-27 03:16 - 2020-10-27 03:16 - 000005913 _____ C:\how_to_decrypt.hta
    2020-10-27 03:13 - 2020-10-27 03:13 - 000005913 _____ C:\Users\Новая папка\how_to_decrypt.hta
    2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\how_to_decrypt.hta
    2020-10-27 03:12 - 2020-10-27 03:12 - 000005913 _____ C:\Users\zakup\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 03:11 - 2020-10-27 03:11 - 000005913 _____ C:\Users\zakup\Downloads\how_to_decrypt.hta
    2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Documents\how_to_decrypt.hta
    2020-10-27 03:10 - 2020-10-27 03:10 - 000005913 _____ C:\Users\zakup\Desktop\how_to_decrypt.hta
    2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 03:08 - 2020-10-27 03:08 - 000005913 _____ C:\Users\zakup\AppData\how_to_decrypt.hta
    2020-10-27 02:59 - 2020-10-27 02:59 - 000005913 _____ C:\Users\zakup\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\zakup\AppData\Local\Apps\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\Downloads\how_to_decrypt.hta
    2020-10-27 02:41 - 2020-10-27 02:41 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Documents\how_to_decrypt.hta
    2020-10-27 02:40 - 2020-10-27 02:40 - 000005913 _____ C:\Users\Vi_Go\Desktop\how_to_decrypt.hta
    2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:37 - 2020-10-27 02:37 - 000005913 _____ C:\Users\Vi_Go\AppData\how_to_decrypt.hta
    2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\LocalLow\how_to_decrypt.hta
    2020-10-27 02:35 - 2020-10-27 02:35 - 000005913 _____ C:\Users\Vi_Go\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:34 - 2020-10-27 02:34 - 000005913 _____ C:\Users\Public\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Public\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Documents\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\Desktop\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default\AppData\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Downloads\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Documents\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\Desktop\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Roaming\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\Local\how_to_decrypt.hta
    2020-10-27 02:33 - 2020-10-27 02:33 - 000005913 _____ C:\Users\Default User\AppData\how_to_decrypt.hta
    2020-10-27 02:32 - 2020-10-27 02:32 - 000005913 _____ C:\ProgramData\Microsoft\Windows\Start Menu\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Все пользователи\Desktop\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\Users\Public\Desktop\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Documents\how_to_decrypt.hta
    2020-10-27 02:30 - 2020-10-27 02:30 - 000005913 _____ C:\ProgramData\Desktop\how_to_decrypt.hta
    2020-10-27 02:16 - 2020-10-27 02:16 - 000005913 _____ C:\Users\how_to_decrypt.hta
    FirewallRules: [{CD657494-7D6F-45CD-8952-CF13B6EB021E}] => (Allow) LPort=9422
    FirewallRules: [{C731503C-E760-461C-B25C-90E86053CE28}] => (Allow) LPort=9245
    FirewallRules: [{75639381-1C82-4265-9597-A17A810C320C}] => (Allow) LPort=9246
    FirewallRules: [{FF3D932A-3CA5-4AE1-A7D9-4CD3887F8856}] => (Allow) LPort=9247
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Lucidlynx
      От Lucidlynx
      Доброго дня, коллеги!
      Словили дрянь которая зашифровало все файлы. (в аттаче пример файлов)
      Подскажите что можно сделать?
      Documents.rar
    • Иван Баженов
      От Иван Баженов
      Добрый день!
      Сервер  Win 2012 R2 был заражен вирусом smime.ninja. Машина была остановлена и восстановлена система из резервной копии. Файлы дополнительного F диска не резервировались и имеют рас название типа: Тортилья с курицей.jpg[hopeandhonest@smime.ninja].[94CECC88-67302ADD]
       
      Также в сервер была включена флеш карта которая была зашифрована и на неё был внедрён вирус. При включении данной флэш карты на другой ПК вирус был обезврежен McAfee и размещён системой в архивный каталог на диске C:\QUARANTINE   Приложить его вам не получилось из за лимита ограничения 12,7 МБ (13 324 899 байт)   Если он понадобится то можно скачать по ссылке с Гугл диска https://drive.google.com/file/d/18p6Lx6HrHlGkDUce6JQbuYtwEBzYMgWF/view?usp=share_link
       
      А также прикладываю файл ТТК.rar зашифрованных файлов с паролем virus
       
       
      ТТК.rar
    • Ivan5
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • LuckyMadbess
      От LuckyMadbess
      Помогите пожалуйста, попался шифровальщик, не успели его изолировать
      Новая сжатая ZIP-папка.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • МаксимР
      От МаксимР
      Тут такая история, сперва зашифровал данные шифровальщик CrLock , он затронул только данные и старую винду которая хранилась мертвым грузом, потому сразу не заметили его. Далее нас зашифровал 6.09.2022 Meow с ним связались и получилось получит дешифратор за умеренную сумму в 3500 руб (он есть у меня могу выслать если надо. Им расшифровали самое важное и стали работать не успев позаботится о безопасности и вот 6.11.2022 нас зашифровал CROW уже полностью С ними списались хотят много не вариант платить 
       
      Мне подсказали что CrLock старая тема и вроде как вы cможите помочь , был бы вам признателен, часть информации зашифрована только им была на снятых дисках
       
      Еще конечно если поможите с CROW  это будет совсем замечательно. Заранее благодарю
×
×
  • Создать...