Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

Помогите пожалуйста. Имена файлов сменились на это: "After Effects.lnk.secure[milleni5000@qq.com]".

 

Как вернуть обратно?

На диске С появился документ: "RESTORE_FILES_INFO"

 

Содержит след. инфу:

 

Your files are secured...
Write to this email with your Key Identifier:
milleni5000@qq.com


Key Identifier: 
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


Number of files that were processed is: 276600

 

Проверил AVZ:

 

Протокол утилиты AVZ версии 5.50
Сканирование запущено в 17.03.2021 10:00:13
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 05.03.2021 04:00
Загружены микропрограммы эвристики: 404
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1195561
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.19042,  "Windows 10 Pro" (Windows 10 Pro) x64, дата инсталляции 15.11.2020 23:35:37 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 188
 Количество загруженных модулей: 360
Проверка памяти завершена
3. Сканирование дисков
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\06ae21f6-6c91-479e-a6b5-1df8ab21d7f2.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\0889ba8a-1464-4db7-b1c8-51a1e6610981.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\19fed871-304c-4240-8236-db6ca170f75f.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\1a15d823-bef1-4e01-bf6b-3bbe016bce40.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\2f88d172-2a53-486f-985d-1c97a2c85445.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\2f90f84c-9fc5-47bd-a650-4e393cb36cc0.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\3c570bc6-e843-4dbb-8efc-4960ed125890.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\6ace7528-baf3-4c12-8eb5-59759d9db1c4.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\7a055c71-3994-4f67-94b9-b5caa43c6134.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\7f30e013-be7f-445a-a7c3-1240b3d64058.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\902eabf4-be69-412f-acfe-2f45ac43d9d4.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\90bf3e25-e7d0-41f2-96eb-37b7d640a183.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\a6c8469c-438d-4f69-94f5-5d4c10cf3d11.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\c1b6144e-36b1-438a-91ad-be50ede7f614.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\d0ce9301-561c-41f2-b86f-03314595abe2.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\db02bd7a-8d71-4d18-9065-d3b2a69074cc.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\db89599f-ec38-4afa-9c14-7c83eaf9d4cf.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\e1034dcd-951f-4501-9d5a-ef873306bdbe.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\e296bd3f-94dd-4963-8551-ca00e92c6a30.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\f9b5e172-855d-4ec1-ae1f-98a630b89652.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\fa019844-6bde-43ff-bc8f-be33e6ed6464.tmp
Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\fcc1bbd4-db74-4ed0-afec-b2e3792e5c34.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\Windows\aact_tools\aact.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
>> Проводник - включить отображение расширений для файлов известных системе типов
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 104321, извлечено из архивов: 4283, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 17.03.2021 10:03:50
Сканирование длилось 00:03:38

 

До этого правда удалось cureit запустить, вот что он почистил: https://yadi.sk/i/Nvv8_HKkCFw-VQ (скриншот)

 

Купил Касперский, он не запускает установщик.

 

Прочитал и дополнительно высылаю еще файлы FRST: 

Addition.txt FRST.txt Shortcut.txt

Изменено пользователем Miqueza
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 42
  • Created
  • Последний ответ

Последнее что ставил на комп (отключал защитника виндовс, 12 марта вечер):

https://byrutor.org/2392-euro-truck-simulator-2-repack-by-xatab-to.html
https://igromagnit.net/simulator/3156-euro-truck-simulator-2-rossija.html#full-repack

Кажется после этого и начала шуметь карта.

 

Вчера комп подтормаживал и долго рендерил видео последние дни. Файлы очень важно спасти... Работа.

 

Сегодня утром проснулся и привет.

 

Если есть возможность звоните +79067302360.

Изменено пользователем Miqueza
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Кроме шифрования у вас ещё и майнер-блокировщик ((

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите CollectionLog Автологером.

 

53 минуты назад, Miqueza сказал:

На диске С появился документ: "RESTORE_FILES_INFO"

Этот файл и пару зашифрованных документов упакуйте в архив и тоже прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Добрый день!

 

Я подгрузил дополнительно что я еще делал за сегодняшнее утро... Фотки с телефона на ЯД: https://yadi.sk/d/8ajMDkhVoHqu9Q (Attempting to mount device... висит и ничего не происходит).

 

Все сделал. RESTORE_FILES_INFO.rar — архив с бякой. И лог соответсвенно.

Этот milleni на почте ответил:

 

hello,
to decrypt your files You will need a special software with your special unique private key.
price of software with your private key will be 1500 US dollars.
with this product you can decrypt all your files.
we accept only BITCOIN payments. (It is a decentralized digital currency)
when your payment will be delivered you will receive your software with private key IMMEDIATELY!

to be sure we have the decryptor and it works you can send to us one file and we decrypt it for free.
but this file should be of not valuable!
let us know about your decision as soon as possible and we give you bitcoin wallet for payment.
thanks.

 

 

UPD 11:32: После действий этих у меня получилось запустить установку Касперского, установил.

RESTORE_FILES_INFO.rarCollectionLog-2021.03.17-11.17.zip

Изменено пользователем Miqueza
Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, Sandor сказал:

Удалите старые и соберите новые логи Farbar Recovery Tool.

Готово:

Addition.txtFRST.txtShortcut.txt

Изменено пользователем Miqueza
Ссылка на сообщение
Поделиться на другие сайты

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

А мы пока пытаемся своими силами определить тип вымогателя.

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Sandor сказал:

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

А мы пока пытаемся своими силами определить тип вымогателя.

Запрос сделал. + Параллельно с Вами хочу конечно же продолжить.

Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, Sandor сказал:

Ответ приведите здесь тоже, пожалуйста.

Приведу обязательно, пока тишина.

 

А от Вас когда можно ожидать заключения? Интересно. Спасибо!

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, Sandor сказал:

Как только ответят коллеги. Только хочу предупредить, шансов на успех крайне мало.

Мда, вот это пападос, как он проник млин. Не слышал даже о таком. Нафига кому-то так делать это ужас, прочитал в инете что обычно только 20% людей получает свои файлы после выкупа.

 

В негативном раскладе форматирование всех дисков и снос системы поможет убрать всё и все следы этого безобразия? Сразу накачу антивир. Ппц. Только файлы... Это жесть... Звонил в DATARC сказали они не помогут, только Касперский и прочие.

 

Написал этим чудикам:

 

hello,
i don't have this amount

 

Они в ответ:

 

We can make a discount for you and it will cost only 750 Us dollars.
Do not misunderstand us, we also need to beat off the time and effort spent.
Let us know about your decision as soon as possible.

 

Ну и я им ответил жалобно, посмотрим, что скажут.

Ссылка на сообщение
Поделиться на другие сайты

Далее к той переписке что есть выше:

 

1. Я сказал ему что я болен и что все деньги уходят на лекарства и в компьютере содержаться файлы по плану лечения.

 

2. Он попросил доказать это.

 

3. Подобрал фотку на гугл фото и выслал и не важно что она на женщину 90 г. рождения, а я мужчина 94. Не проверил. Предварительно проверил не ищется ли эта фотография по гугл картинкам - не ищется. Отправил не как вложение в почту, чтобы нельзя было отследить историю создания файла а как вставка изображения в почту.

 

Спустя полтора часа он прислал:

 

download Decryptor from: https://dropmefiles.com/6qTlY
winrar password: 121212

in Decryptor on Crypted Extension Insert this: .secure[milleni5000@qq.com]

Descryption password:
O[ahwt4/P8]]RPq}Hl5e]^GS`{WzImkL

 

В автоматическом режиме она за 15 секунд восстановила рабочий стол. Сейчас долго шуршит по диску где занято 200 гб из 1 тб. Посмотрим, что будет. Программа часто слетает, особенно при объемных папках, которые содержат много внутренних папок и большой вес файлов. Приходилось перезагружаться. Касперский не мешает работе программы. Приходилось выбирать папки более узко и тогда получаем сообщение об успехе. 

 

Decoder.png.87a5f6175c54e4f413bc3c41e735f1f2.pngimage.png.a4f1838c826c6537b0d3e9644f19c1f7.png

 

Расшифровщик от него во вложении:

 

Decryptor.zip

 

Новые логи во вложении (какие-то проги стандартные были запущены в трее и + Касперский если это важно), прошу, пожалуйста, помочь почистить все следы. Касперский сейчас стоит активно на защите если что. Сегодня купил на нервах.

 

FRST.txtShortcut.txtAddition.txt

 

ЛК ответили что взяли в работу в 15:36. Сейчас дошлю им файл который получил от злоумышленника.

 

Еще напоминаю если поможет придумать универсальный разблокировщик картинки по сегодняшней проблеме на ЯД загружены дополнительно которых здесь нет, вес тяжелый (какое-то время там повисят): https://yadi.sk/d/8ajMDkhVoHqu9Q

 

 

Мой ответ в лабораторию показываю во вложении.

kaspersky.thumb.png.4380276b52ac0fbaa6d3c2b7af0d25d4.png

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Startup: C:\Users\john\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-03-16]
    ShortcutTarget: mystartup.lnk -> C:\Users\DANIIL\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.istartsurf.com/?type=hp&ts=1408631095&from=smt&uid=WDCXWD5001AALS-00J7B0_WD-WMATV735211952119","hxxp://www.google.com/","hxxps://www.google.com/"
    2021-03-17 00:28 - 2021-03-17 00:28 - 000001285 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.hta
    2021-03-17 00:28 - 2021-03-17 00:28 - 000000854 _____ C:\Windows\RESTORE_FILES_INFO.txt
    2021-03-17 00:28 - 2021-03-17 00:28 - 000000854 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.txt
    2021-03-17 00:28 - 2021-03-17 00:28 - 000000854 _____ C:\RESTORE_FILES_INFO.txt
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Проверьте существует ли папка

Цитата

C:\Users\john

 

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor unlocked this тема
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Janei
      Здраствуйте. Недавно осознал, что на компьютере установлен майнер. 
      Пытался создать тему по правилам... Но проблема в том, что майнер не дает запустить два антивируса из предложенных. Они сразу закрываются. А также препятствует обновлению базы в AVZ. (для того чтобы собрать логи). Автологгер не получается использовать. Спешу заметить, что вирус закрывает AVZ сам после запуска программы. Собственно, почему понял что майнер. В моменте сёрфинга интернета картинка просто намертво замирает, очень сильно всё лагает до момента пока не открыть диспетчер задач. Картину которую вижу в стандартном диспетчере - загрузка ЦП 99% и через секунду 3%. Отсюда сделал некоторые выводы. Скачал два кастомных ДЗ. Process hacker 2 ( который майнер также распознал и успешно закрывался сам после открытия данного ДЗ) и system explorer. Последний и дал мне понять, что мой железный конь хапнул вируса. в процессах висел файл Microsofthost.exe который грузил 90% процессора. Также вирус сам закрывал оригинальный ДЗ через минуту буквально. Данный вирус прописался в папку windowstask. был скрытым системным файлом.  Обнаружил такую вещь: при попытке сделать видимыми системные файлы. После нажатия кнопки "применить" системные файлы не становятся видимыми навсегда. Как только окошко закрывается, вирус заново ставит галочку "скрывать системные файлы". 
      После остановки процесса удалил из папки все файлы.  (майнер запускал два процесса. один не загружал систему вообще.) Момент истины - Перезагрузка компьютера - ДЗ - майнер снова работает.
      Теперь о проблемах: 
      Антивирусы закрываются через секунду.
      АВЗ закрывается через секунду.
      Майнер закрывается при открытии некоторых ДЗ. 
      После удаления и перезагрузки - майнер восстанавливается. 
      Связано или нет - данный сайт опера гх не может открыть. зашел сюда только под впн. 
      на картинке два процесса из папки майнера.

      Прошу помощи. Логгер запустить не получается. 




    • От puppy
      Поймал вирус. Вроде как и безобидный, т.к особой траты ресурсов системы я не наблюдал, просто насторожило сообщение Windows Defender. Решил покопаться. Порывшись понял, что вирус точно есть. Защитник виндовс якобы все удалил, но естественно не все так просто. Решил скачать уже знакомый и проверенный мне антивирус Касперского, но почему-то доступ был закрыт. Попробовал другие сайты и понял, что закрыт доступ на сайты почти всех антивирусов(Avast, dr.web, kaspersky, 360 и т.п). Прилагаю файл-репорт rkill. Файл hosts был скрыт. Зашел и удалил более 125 лупбэков(127.0.0.1) на разные форумы и сайты по антивирусам. Далее я зашел на сайт Касперского и скачал exe, но он просто не запускается, пол секунды загрузки и все. Тогда я скачал Dr.Web, он поставился. Сделал полный анализ системы и он нашел 27 ошибок и удалил. Но проблема не решилась. Дальше я запустил kaspersky virus removal tool. Сделал анализ, он нашел еще 3 вируса и удалил. Далее я исследовал систему с помощью него, отчет приложу. Теперь exe антивируса запускается, но пишет Неизвестная ошибка и все(составляя отчет о ошибке). Уже устал биться с вирусом, решил сюда написать.
      Я пробовал даже с помощью новой учетки зайти и там установить, та же песня.
      Кстати, когда я копался нашел, что вирусом была создана учетка john со всеми правами. Ее удалил
      Окажите посильную помощь пожалуйста!
      report.txt Rkill.txt CollectionLog-2021.04.12-11.23.zip
      Сейчас проверил, уже и отчеты об ошибке не составляет установщик Касперского...
    • От Jaunty
      зашиврованы многие файлы кроме архивов
      Desktop.rar
    • От yasida
      Здравствуйте , не могу установить антивирусы, блокируются антивирусные сайты. Еще грузит память и процессор - процесс find.exe. AutoLogger не запускается выдает ошибку. контрольные точки восстановления  удалить не могу выдает ошибку.
       


      AV_block_remove.log AdwCleaner[C00].txt AdwCleaner[C01].txt AdwCleaner[S00].txt AdwCleaner[S01].txt AdwCleaner[S02].txt FRST.txt Addition.txt


×
×
  • Создать...