Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик MrJeck@Cock.li помогите с расшифровкой есть папка (на дедик) в ней файлы как я понимаю для шифровки

cybase
 Поделиться

Рекомендуемые сообщения

cybase Новичок

cybase

Опубликовано
  • Автор
Опубликовано

Добрый день после перезагрузки компьютера все файлы зашифрованы, есть еще папка "на дедик" в которой файлы создающие учетную запись и тд(папка в архиве 1 вместе с зашифрованным файлом), прилагаю логи сканирования. Очень нужна помощь так как копии файлов на другом пк тоже зашифрованы.

1.rar Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Цитата

Administrator (S-1-5-21-3019861478-2420880730-3075451242-500 - Administrator - Enabled)
Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2
Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled)
System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled)

не многовато пользователей с правами администратора? Они все Вам известны?

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
S1 rlvafyop; \??\C:\Windows\system32\drivers\rlvafyop.sys [X]
S1 rxlsfegg; \??\C:\Windows\system32\drivers\rxlsfegg.sys [X]
S1 zgcektdl; \??\C:\Windows\system32\drivers\zgcektdl.sys [X]
S2 qadswdg; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 strwerd; C:\Windows\Inf\storagevservicedbs\000D\1049\5.0\SQL\lsm.exe [X]
S2 wmsvinsdbvmsqlsrvrms; C:\Windows\Inf\msvsqlserverdbvsm\001D\0419\0409\0409\sqldb.exe [X]
Task: {A7AE0D63-6A90-4386-A81D-D87AE7C98E89} - System32\Tasks\Microsoft\Windows\Browser\MWR => cmd.exe /c taskkill /f /im wahiver.exe /t
C:\Windows\Inf\storagevservicedbs\000D
IFEO\perfmon.exe: [Debugger] svchost.exe
IFEO\ProcessHacker.exe: [Debugger] svchost.exe
IFEO\procexp.exe: [Debugger] svchost.exe
IFEO\procexp64.exe: [Debugger] svchost.exe
IFEO\resmon.exe: [Debugger] svchost.exe
IFEO\taskmgr32.exe: [Debugger] svchost.exe
IFEO\taskmgr64.exe: [Debugger] svchost.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{D089EF6C-A998-47B0-8CD6-D204300B5839}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{89818595-FBD3-42C3-B282-15EE3B011548}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wahiver.exe => Нет файла
FirewallRules: [TCP Query User{93FD1DE2-C5E1-4656-BFCF-B69ACF5F703D}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла
FirewallRules: [UDP Query User{B44F897B-1E64-42D6-9666-A3F873DB33A1}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\wasp.exe => Нет файла
FirewallRules: [TCP Query User{85D29FC2-BE4D-4960-BA09-300F8FAFA3A7}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла
FirewallRules: [UDP Query User{01884D5F-6B16-4797-8726-92AFA26A5FC0}C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe] => (Block) C:\users\anna\appdata\roaming\microsoft\internet explorer\support\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{A70AEEED-579F-4F09-81DA-A94B87274D06}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{EBC08CFE-874B-4DEF-9A5C-76FCF35F0C6B}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wahiver.exe => Нет файла
FirewallRules: [TCP Query User{B4571EE2-A190-4BF5-A51E-D894F948D9B2}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла
FirewallRules: [UDP Query User{87637780-7EC9-4E2A-9A00-27A0DB6F0735}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\wasp.exe => Нет файла
FirewallRules: [TCP Query User{8768FB3A-C338-4F5C-A633-5FDEA216BE42}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла
FirewallRules: [UDP Query User{4BD54B55-D19E-48DB-96AF-C9929142202D}C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe] => (Block) C:\users\manager2\appdata\local\microsoft\internet explorer\intelchip.log\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{E9CA514C-C063-4863-9DED-BA839CAE1865}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла
FirewallRules: [UDP Query User{54581913-902C-4CA6-BF28-244CFFCD652A}C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe] => (Allow) C:\users\system32.win-u25r2bflce7\desktop\rdp brute by z668 1.6\rdp brute by z668 1.6\rdp\crack\crack\crack.exe => Нет файла
FirewallRules: [{EFAE1398-5740-4668-8731-EB41C7F211B9}] => (Allow) C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
FirewallRules: [TCP Query User{D1E78E6A-FD68-4F4C-BEC2-96576372998B}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла
FirewallRules: [UDP Query User{CE307372-9695-4E65-92F9-E8EDEE71E04F}C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe] => (Block) C:\users\anna\appdata\local\temp\12\3582-490\wahiver.exe => Нет файла
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.


 

Ссылка на комментарий
Поделиться на другие сайты
cybase Новичок

cybase

Опубликовано
  • Автор
Опубликовано

Fixlog.txt

Только что, thyrex сказал:

Manager2 (S-1-5-21-3019861478-2420880730-3075451242-1031 - Administrator - Enabled) => C:\Users\Manager2 -это не админ
Nat (S-1-5-21-3019861478-2420880730-3075451242-1024 - Administrator - Enabled) это не админ
System32 (S-1-5-21-3019861478-2420880730-3075451242-1050 - Administrator - Enabled) а этот пользователь создан файлами из папки дедик

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Первые два - это пользователи с правами Администратора, а пользователя System32 удалите.

 

По поводу расшифровки: похоже на GlobeImposter 2. С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Kdademon
      Помогите в расшифровке файлов после вируса шифровальщика Trojan-Ransom.Win32.Mimic.gen
      Автор Kdademon
      02.072025 обнаружили что на 2 компа (Windows 7) попал вирус шифровальщик 
      подключились предположительно по RDP
      зашифровали все базы 1с, бэкапы, архивы, документы
      файл с обращением от вымогателей нашли
      Kaspersky Virus Removal Tool нашел вируc HEUR:Trojan-Ransom.Win32.Mimic.gen

      Подскажите порядок действий по лечению этих компов и возможна ли дешифровка?
      Как можно обезопасится от подобного?
      Поможет ли установка Kaspersky на все компьютеры сети?

      Во вложении архив с примерами зашифрованных файлов из папки php
      Файлы постарался выбрать стандартные, общеизвестные может поможет в дешифровке
      Также приложил скрин с проверкой от Kaspersky Virus Removal Tool

      php.rar
    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • yarkroft
      Шифровальщик с форматом файлов .Elbie
      Автор yarkroft
      Добрый день, на рабочий бухгалтерский компьютер попал вирус и зашифровал много информации. Система и некоторые приложения по типу браузера не зашифрованы и работают.
    • Равиль.М
      Помощь в расшифровке файлов
      Автор Равиль.М
      Добрый день. Поймали вирус-шифровальщик, поразил весь файловый серв. Все началось после того как подключились через Anydesk. На двух пользовательских компьютерах замещены вирусы после проверки KES. Лог файл приложил
      FRST.rar KVRT2020_Data.rar Обнаружено KES.rar Файлы шифрованные.rar
    • darksimpson
      Помогите пожалуйста с шифровальщиком
      Автор darksimpson
      Добрый день.

      Помогите пожалуйста с определением зловреда и, возможно, с расшифровкой.

      Прикрепляю архив с логами FRST, двумя зашифрованными файлами и запиской.

      Спасибо!
      p4.zip
×
×
  • Создать...