Перейти к содержанию

Поймал вирус, все зашифровал unlckr@tutanota.com

Lan63
 Share

Рекомендуемые сообщения

Lan63 Новичок

Lan63

Опубликовано
Опубликовано

Пришел на работу, включен компьютер, хотя вечером выключал, захожу весит на рабочем столе письмо о выкупе, есть пару оригинальных файлов из тех которые зашифрованы

FRST.rar Зашифрованные.rar Oreg.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет. Оригинальные файлы ничем не помогут.

Систему будете переустанавливать или почистим следы вымогателя?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b3b-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b5d-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {0f7bd52f-30be-11e3-aa49-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {40345d85-eb86-11e7-a036-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49444d18-c327-11ea-86cb-001fd00cd3f1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49997f89-4a33-11e5-a2e1-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e70a-f462-11e3-8173-001fd00cd3f1} - "G:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e777-f462-11e3-8173-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fff9c-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fffaa-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {cb981ebd-2cdd-11e4-99a6-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a1c-6949-11e3-9eb6-806e6f6e6963} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a64-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0b10-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f72095-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f7210b-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0fd71b5-efa3-11e3-9a57-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\drkyindlohbjnlv.txt [2021-03-09] () [Файл не подписан]
2021-03-09 20:57 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\Tasks\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Tasks\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\etc\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\config\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Downloads\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Documents\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Local\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:53 - 000001345 _____ C:\Windows\drkyindlohbjnlv.txt
2021-03-09 20:52 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Local\drkyindlohbjnlv.txt
2021-03-09 20:51 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Downloads\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Documents\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Documents\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:50 - 000001345 _____ C:\Users\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\Common Files\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\drkyindlohbjnlv.txt
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      От xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
    • Пантелеймон
      Поймал вирус
      От Пантелеймон
      Добрый день! 
      Подхватил вирус удаленного доступа 
      Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
      Переустановка Винды не помогла 
      Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
      Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
      Хотелось бы изгнать этого нарушителя, с вашей помощью
      CollectionLog-2024.08.16-11.23.zip
    • bittok23
      Поймал вирус, скорее всего майнер
      От bittok23
      Поймал вирус, сначала решил провести проверку по антивирусу, проверка шла и внезапно комп выключается и врубается снова, потом еще раз и после этого антивирус сам удаляется с устройства. В диспетчере задач при заходе видно что процессор нагружен на 100 и резко падает. Антивирус ничего не нашел после полной проверки, майнер так и остался, что делать я не понимаю
    • LeoNid2024
      Поймали шифровщика
      От LeoNid2024
      Был взломан сервер по rdp, все файлы зашифрованы, NAS к сожалению не работал.
      Система просканирована kvrt.exe. Найдено вредоносное ПО. 
       
       
       
      KVRT2020_Data.zip
      Зашифрованные файлы.zip
×
×
  • Создать...