Перейти к содержанию

Рекомендуемые сообщения

Добрый день!

 

Словил шифровальщик.

Похоже что зашли на сервер по RDP.

Зашифровано всё, в том числе и бэкапы. 

Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki

 

Есть способ расшифровать такие файлы ?

 

[mod]Не надо выкладывать вирусы на форуме[/mod] 

FRST.zip files.zip

Изменено пользователем mike 1
Карантин в теме
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
(Microsoft) [Файл не подписан] C:\Windows\winlogon.exe
HKLM-x32\...\Run: [Michael Gillespie] => C:\Windows\winlogon.exe [583168 2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3744054650-1620138917-4001793172-500\...\Run: [Michael Gillespie] => C:\ProgramData\winlogon.exe [583424 2022-05-02] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3744054650-1620138917-4001793172-500\...\Policies\system: [DisableTaskMgr] 1
HKU\S-1-5-18\...\Run: [Michael Gillespie] => C:\ProgramData\winlogon.exe [583424 2022-05-02] () [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winlogon.exe [2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
Startup: C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wvtymcow.bat [2022-05-02] () [Файл не подписан]
Task: {985E7D08-E1DA-44FD-8C5B-0F18563D3A7A} - System32\Tasks\Loki => C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe [583168 2022-04-09] (Microsoft) [Файл не подписан] <==== ВНИМАНИЕ
2022-05-02 07:30 - 2022-05-02 10:06 - 000000109 _____ C:\Windows\SysWOW64\wvtymcow.bat
virustotal: C:\Windows\SysWOW64\winlogon.exe
2022-05-02 05:12 - 2022-05-02 14:49 - 000001836 ____H C:\Users\Администратор.WIN-68M88C5TC44\Desktop\0.cmd
2022-05-02 05:11 - 2022-05-02 14:49 - 001851728 _____ C:\Users\Администратор.WIN-68M88C5TC44\Desktop\aPH.exe
2022-05-02 03:50 - 2022-05-02 14:49 - 000583424 ___SH C:\ProgramData\winlogon.exe
2022-05-02 02:02 - 2022-04-09 04:34 - 000583168 ___SH (Microsoft) C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe
2022-05-02 03:50 - 2022-05-02 14:49 - 000583424 ___SH () C:\ProgramData\winlogon.exe
2022-05-02 02:02 - 2022-05-02 02:02 - 000000314 _____ () C:\Program Files\Restore-My-Files.txt
2022-05-02 02:02 - 2022-05-02 02:02 - 000000314 _____ () C:\Program Files (x86)\Restore-My-Files.txt
2022-05-02 07:30 - 2022-05-02 07:30 - 000000314 _____ () C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\Restore-My-Files.txt
2022-05-02 02:02 - 2022-04-09 04:34 - 000583168 ___SH (Microsoft) C:\Users\Администратор.WIN-68M88C5TC44\AppData\Roaming\winlogon.exe
zip:C:\FRST\Quarantine

 

3. Запустите FRST и нажмите один раз на кнопку Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • sweetbeet
      От sweetbeet
      При работе с браузером периодически открывается рекламная вкладка какого-нибудь сайта. Kaspersky Internet Security не находит угрозу, Kaspersky Virus Removal Tool нашёл парочку, но проблема не прошла после их удаления.CollectionLog-2022.11.27-18.23.zip
    • Moonka
      От Moonka
      Здравствуйте, dialersvc32.job и dialersvc64.job   не удаляются, что делать?

    • pagl
      От pagl
      Вирус закрывает браузер при поиске слова "антивирус", блокирует сами антивирусы (KVRT, AVZ, AVBr и тд тоже). Переименовать их пытался (сначала на другом устройстве, потом перекидывал на ПК и уже пытался запустить), но безрезультатно.
      Диспетчер задач закрывает самостоятельно через +- минуту, вернуть комп. в исходное состояние не даёт (закрывает моментально) 
      Данный сайт антивирус блочит (якобы проблема с dns-сервером)
       
      КоллекшионЛог смог собрать только в  безопасном режиме.
       
       
       
       
       
       
       
      CollectionLog-2022.11.26-00.57.zip
    • BLOODBEAR
      От BLOODBEAR
      Хотел удалить старый антивирус и приобрести kaspersky но встретился с проблемой.
      После удаления прошлого антивируса у меня заблокировалась любая установка всех антивирусов и утилит, даже посещение сайтов.
      Некоторые проблемы я смог решить сам через редактор реестра и чистки файла hosts но установщик kaspersky всё ровно просто не запускается.
      Запуск через командную строку пишет неизвестная ошибка.
      Пробовал много сторонних утилит, но ничего не помогает.
      Ниже прикрепил zip с CollectionLog.
       
      CollectionLog-2022.11.25-23.36.zip
    • Plovinafaila
      От Plovinafaila
      Коллеги, если так можно выразиться, прошу помощи.
      Просит денег на decrypt@techie.com, decrypt123@sent.com
      Файлы все типа 1Cv8.1CD.id[присвоенный ID].[decrypt@techie.com].MNX
       
       
×
×
  • Создать...