Перейти к содержанию

Поймал вирус, все зашифровал unlckr@tutanota.com

Lan63
 Поделиться

Рекомендуемые сообщения

Lan63 Новичок

Lan63

Опубликовано
Опубликовано

Пришел на работу, включен компьютер, хотя вечером выключал, захожу весит на рабочем столе письмо о выкупе, есть пару оригинальных файлов из тех которые зашифрованы

FRST.rar Зашифрованные.rar Oreg.rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этой версии нет. Оригинальные файлы ничем не помогут.

Систему будете переустанавливать или почистим следы вымогателя?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b3b-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b5d-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {0f7bd52f-30be-11e3-aa49-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {40345d85-eb86-11e7-a036-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49444d18-c327-11ea-86cb-001fd00cd3f1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49997f89-4a33-11e5-a2e1-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e70a-f462-11e3-8173-001fd00cd3f1} - "G:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e777-f462-11e3-8173-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fff9c-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fffaa-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {cb981ebd-2cdd-11e4-99a6-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a1c-6949-11e3-9eb6-806e6f6e6963} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a64-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0b10-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f72095-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f7210b-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0fd71b5-efa3-11e3-9a57-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\drkyindlohbjnlv.txt [2021-03-09] () [Файл не подписан]
2021-03-09 20:57 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\Tasks\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Tasks\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\etc\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\config\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Downloads\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Documents\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Local\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:53 - 000001345 _____ C:\Windows\drkyindlohbjnlv.txt
2021-03-09 20:52 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Local\drkyindlohbjnlv.txt
2021-03-09 20:51 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Downloads\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Documents\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Documents\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:50 - 000001345 _____ C:\Users\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\Common Files\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\drkyindlohbjnlv.txt
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vklass
      Поймал вирус .encrypted
      Автор Vklass
      Зашифровали сервер, пропала недельная работа, прощу помощи  логи FRST в архиве 
      Вирус 2.zip
    • Albert2025
      [РЕШЕНО] Поймал вирус, но не лечится стандартно
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • alexlaev
      Поймали шифровальщик
      Автор alexlaev
      Доброго бодрого, придя на работу в понедельник пришло осознание того что на сервере происходит что-то неладное, появились файлы с расширением .[nullhex@2mail.co].0C8D0E91
      Ничего не поняв, начал искать что могло произойти, один из компьютеров был подвержен атаке, в ночь с пятницы на субботу по местному времени в 3:30 утра 28.06.2025 было совершено подключение по RDP к данному компьютеру. После анализа действий программы Clipdiary (благо была установлена на компьютере) было выявлено что злоумышленник владеет всей информацией о паролях от сервера, пользователей, список пользователей в сети, и начал свою атаку глубже. Этот компьютер имел админку к серверу, поэтому злоумышленник без труда добрался до него и начал шифровать данные как и на двух других компьютерах. По итогу то ли то что злоумышленнику стало скучно, то ли из-за того что компьютер завис в этот момент (на часах было 10:03 29.06.2025 (я смотрел на время на экране уже на следующий день в понедельник 30.06.2025 в 11:30, поэтому обратил внимание сразу что время не совпадает и комп заблокирован и завис)) у злоумышленника доступ к серверу пропал, потому как по RDP только из локалки можно к нему цепляться. Файлы незначительные повреждены, но уже восстановлены из бэкапа(благо делается каждый день)
      А вот с компьютерами меньше повезло, три компа полностью зашифрованы. Прилагаю файлы и проверку в программе указанной в теме правил.
      vse tut.rar
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
×
×
  • Создать...