Перейти к содержанию

Шифровальщик MrJeck@Cock.li помогите с расшифровкой есть папка (на дедик) в ней файлы как я понимаю для шифровки


Рекомендуемые сообщения

Опубликовано

Добрый день после перезагрузки компьютера все файлы зашифрованы, есть еще папка "на дедик" в которой файлы создающие учетную запись и тд(папка в архиве 1 вместе с зашифрованным файлом), прилагаю логи сканирования. Очень нужна помощь так как копии файлов на другом пк тоже зашифрованы.

1.rar Addition.txt FRST.txt

Опубликовано
Цитата

Administrator (S-1-5-21-3019861478-2420880730-3075451242-500 - Administrator - Enabled)
Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2
Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled)
System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled)

не многовато пользователей с правами администратора? Они все Вам известны?

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
S1 rlvafyop; \??\C:\Windows\system32\drivers\rlvafyop.sys [X]
S1 rxlsfegg; \??\C:\Windows\system32\drivers\rxlsfegg.sys [X]
S1 zgcektdl; \??\C:\Windows\system32\drivers\zgcektdl.sys [X]
S2 qadswdg; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 strwerd; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\SQL\lsm.exe [X]
S2 wmsvinsdbvmsqlsrvrms; C:\Windows\Inf\msvsqlserverdbvsm\001D\0419\0409\0409\sqldb.exe [X]
Task: {A7AE0D63-6A90-4386-A81D-D87AE7C98E89} - System32\Tasks\Microsoft\Windows\Browser\MWR => cmd.exe /c taskkill /f /im wahiver.exe /t
C:\Windows\Inf\storagevservicedbs\000D
IFEO\perfmon.exe: [Debugger] svchost.exe
IFEO\ProcessHacker.exe: [Debugger] svchost.exe
IFEO\procexp.exe: [Debugger] svchost.exe
IFEO\procexp64.exe: [Debugger] svchost.exe
IFEO\resmon.exe: [Debugger] svchost.exe
IFEO\taskmgr32.exe: [Debugger] svchost.exe
IFEO\taskmgr64.exe: [Debugger] svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{D089EF6C-A998-47B0-8CD6-D204300B5839}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{89818595-FBD3-42C3-B282-15EE3B011548}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла
FirewallRules: [TCP Query User{93FD1DE2-C5E1-4656-BFCF-B69ACF5F703D}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла
FirewallRules: [UDP Query User{B44F897B-1E64-42D6-9666-A3F873DB33A1}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла
FirewallRules: [TCP Query User{85D29FC2-BE4D-4960-BA09-300F8FAFA3A7}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла
FirewallRules: [UDP Query User{01884D5F-6B16-4797-8726-92AFA26A5FC0}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{A70AEEED-579F-4F09-81DA-A94B87274D06}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{EBC08CFE-874B-4DEF-9A5C-76FCF35F0C6B}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла
FirewallRules: [TCP Query User{B4571EE2-A190-4BF5-A51E-D894F948D9B2}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла
FirewallRules: [UDP Query User{87637780-7EC9-4E2A-9A00-27A0DB6F0735}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла
FirewallRules: [TCP Query User{8768FB3A-C338-4F5C-A633-5FDEA216BE42}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла
FirewallRules: [UDP Query User{4BD54B55-D19E-48DB-96AF-C9929142202D}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{E9CA514C-C063-4863-9DED-BA839CAE1865}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла
FirewallRules: [UDP Query User{54581913-902C-4CA6-BF28-244CFFCD652A}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла
FirewallRules: [{EFAE1398-5740-4668-8731-EB41C7F211B9}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [TCP Query User{D1E78E6A-FD68-4F4C-BEC2-96576372998B}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{CE307372-9695-4E65-92F9-E8EDEE71E04F}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Опубликовано

Fixlog.txt

Только что, thyrex сказал:

Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2 -это не админ
Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled) это не админ
System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled) а этот пользователь создан файлами из папки дедик

 

Опубликовано

Первые два - это пользователи с правами Администратора, а пользователя System32 удалите.

 

По поводу расшифровки: похоже на GlobeImposter 2. С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • mibds
      Автор mibds
      Здравствуйте. 
       
      Значит все по стандарту.
       
      Секретарше прислали письмо на почту, со вложенным архивом "Сообщение о задолженности". (Прикрепил к теме архив, переименовал в "осторожно вирус")
       
      В архиве скрипт *.js.  с названием "сообщение о задолженности"
       
      Девочка архив распаковала, файл попыталась открыть, скрипт видимо сработал и заблокировались все файлы excel (xls, xlsx) и word (doc).
       
      Вроде другие файлы не пострадали... но могу и не знать. Знаю точно что не пострадали PDF-файлы и те файлы где стояла галка "только чтение", но таких единицы к сожалению.
       
      Прикрепил для примера архив "несколько зашифрованных файлов для примера". Там 5 зашифрованных файлов, точно не скажу "доки" или "эксели".
       
      Прикрепил логи
       
      несколько зашифрованных файлов для примера.rar
      CollectionLog-2015.10.08-17.09.zip
    • AltayResort
      Автор AltayResort
      Добрый День!
       
      Получили по электроной почте файл с вирусом (прекреплен в скрепке) после открытия файла зашифровались файлы с расширением doc, xls
      Пример заражонного файла в скрепке, так же прекладываем логи собранные программной autologger.
       Учитывая финансовый характер заражонных файлов просьба помочь в расшифровке файлов как можно скорее
      Мы являемся владельцами корпоративной линцензии kaspersky endpoint security.
      С Уважением.
      ООО Алтай Резорт
       
    • nikolay_2009
      Автор nikolay_2009
      добрый день
      все фотки заблокированы и зашифрованы. 
      списывался с криптолокером. он дерзит и просит 15000р хотя и говорит что только рабочие компьютеры банит. выручайте.
      прикрепляю файлы из разных папок. "тела" вируса уже наверное нет. т.к. обратился за помощью к знакомому и он мне переустановил винду даже не активировав и файл логгера с вашего сайта. спасибо.  и фото почему то не загружаются((((. что делать? ни большие ни маленькие
      CollectionLog-2015.11.04-21.51.zip
    • big_boy840
      Автор big_boy840
      Есть расшифровщик или нет?
      У меня с такими же названиями maxcrypt@foxmail2.com файлы.
      Это значит, что расшифровщик его должен мне подойти?
    • Ердаулет
      Автор Ердаулет
      Вирус зашифровал все файлы в формат.bad зашифрованные файлы переместил в одну папку расшифровать не получается или я не правильно делаиу?
      CollectionLog-2015.10.20-00.47.zip
×
×
  • Создать...