Перейти к содержанию

Поймал вирус, все зашифровал unlckr@tutanota.com

Lan63
 Share

Рекомендуемые сообщения

Lan63 Новичок

Lan63

Опубликовано
Опубликовано

Пришел на работу, включен компьютер, хотя вечером выключал, захожу весит на рабочем столе письмо о выкупе, есть пару оригинальных файлов из тех которые зашифрованы

FRST.rar Зашифрованные.rar Oreg.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет. Оригинальные файлы ничем не помогут.

Систему будете переустанавливать или почистим следы вымогателя?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b3b-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b5d-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {0f7bd52f-30be-11e3-aa49-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {40345d85-eb86-11e7-a036-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49444d18-c327-11ea-86cb-001fd00cd3f1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49997f89-4a33-11e5-a2e1-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e70a-f462-11e3-8173-001fd00cd3f1} - "G:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e777-f462-11e3-8173-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fff9c-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fffaa-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {cb981ebd-2cdd-11e4-99a6-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a1c-6949-11e3-9eb6-806e6f6e6963} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a64-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0b10-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f72095-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f7210b-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0fd71b5-efa3-11e3-9a57-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\drkyindlohbjnlv.txt [2021-03-09] () [Файл не подписан]
2021-03-09 20:57 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\Tasks\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Tasks\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\etc\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\config\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Downloads\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Documents\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Local\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:53 - 000001345 _____ C:\Windows\drkyindlohbjnlv.txt
2021-03-09 20:52 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Local\drkyindlohbjnlv.txt
2021-03-09 20:51 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Downloads\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Documents\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Documents\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:50 - 000001345 _____ C:\Users\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\Common Files\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\drkyindlohbjnlv.txt
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Gagik
      Поймал вирус
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • Pavel Morozov
      Поймал вирус шифратор Black Bit
      От Pavel Morozov
      На протяжении некоторого времени, мой компьютер находился во включенном состоянии. Ранее я баловался с удаленным доступом к компьютеру через удаленный рабочий стол. Сегодня вывел компьютер из спящего режима и увидел на рабочем столе изображение с надписью "BLACK BIT и т.д", изображение с полным текстом в архиве, также я написал сообщение на указанный почтовый адрес изображение с ответом также есть в архиве. По инструкции в архив были добавлены зашифрованные файлы и их оригиналы, а также файлы которые создал вирус, это два файла "Cpriv.BlackBit", "Cpriv2.BlackBit", "info.hta" и "Restore-My-Files.txt". Также в инструкции было написан про "Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool" данная программа не запускается от слова совсем не в обычном режиме не в режиме администратора.
      файлы.rar
    • r_skripnikov
      Поймал вирус майнер RealtekHD\taskhost.exe (taskhostw.exe)
      От r_skripnikov
      Словил вирусняк не понятно с какого конретно установленного софта. Ясно знаю что словил вчера. Всё по стандарту — диспетчер закрывается, антивирус любой который пытался скачать не качается (закрывается браузер). В безопасном режиме всех файлов которые находил Dr.Web Cureit нет. Пробовал зачищать вручную с помощью CMD, всё возвращается. В автозагрузке процесс RealtekHD который хранится в ProgramData и два файла которые друг друга поднимают taskhost.exe и taskhostw.exe. У самого не получилось — прошу помощи
    • Ммм
      Поймал вирус майнер RealtekHD\taskhost.exe (taskhostw.exe)
      От Ммм
      Блин бро помоги я захожу а меня сразу выкидывает из проги
      Блин бро помоги я захожу а меня сразу выкидывает из проги
       
      Сообщение от модератора thyrex Перенесено из темы
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
×
×
  • Создать...