[решено] Шифровальщик

Sandor · Отправлено: **09:14, 19-03-2025** | #2

Здравствуйте!

Пока пришлите 2-3 зашифрованных документа вместе с запиской с требованием выкупа (при наличии). Упакуйте всё в архив.
Также:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

cher · Конфигурация компьютера

Ок. Зараженные - https://disk.yandex.ru/d/Bc4P3E_EcWlLgQ

Sandor · Отправлено: **15:40, 19-03-2025** | #4

Записки с требованием выкупа не было?
Вообще, во всех логах не видно следов вымогателя. Возможно заражена другая машина в сети.

А в этой системе как раз много "шар" открыто:
Сетевое имя Путь
1cbuh D:\1cbuh
GG C:\GG
Music D:\User\Music
Pictures D:\User\Pictures
Users C:\Users
Videos D:\User\Videos

cher · Конфигурация компьютера

Sandor, Да. Шар много(без первых 2-ух никак)... Этот компьютер основной-есть еще один, он к нему уже подключается.Тот компьютер проверял avptool и Cureit!- ничего страшного. Да и визуально ничего не тронуто.. Да и баз на том нет- значит неинтересно. Хотя может кто то там и сидит..... Записки с требованием не было. Такое ощущение, что не получилось или не успели. Тронут только диск D: .Что было на C: - нетронуто. Благо треть баз было там.
Тот компьютер проверить? или ну его...

Sandor · Отправлено: **16:16, 19-03-2025** | #6

Можем проверить, соберите на нём логи Farbar.
К сожалению, расшифровки этого типа вымогателя нет без приватного ключа, который находится у злоумышленников.

Sandor · Отправлено: **17:14, 19-03-2025** | #7

Ещё Addition.txt добавьте. Тут есть что почистить, хотя следов заражения тоже не видно.

cher · Конфигурация компьютера

.,........архивом.
Архив виден?

Sandor · Отправлено: **17:17, 19-03-2025** | #9

Нет пока, и предыдущее ваше сообщение пропало.

Sandor · Отправлено: **17:52, 19-03-2025** | #10

Деинсталлируйте устаревшие и не поддерживаемые:

Цитата:

Adobe Flash Player 26 PPAPI
Adobe Flash Player 32 NPAPI

а также нежелательный браузер - Спутник

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\PC\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {FC95AC4A-053E-4F00-837C-AB2757EFD350} - System32\Tasks\{01D1C8B0-84FD-446A-9BEB-ADBF1F256795} => C:\Users\PC\Desktop\дривы\DDU v18.0.1.0\Display Driver Uninstaller.exe  (Нет файла)
Task: {DB27C9D1-DE08-46FE-B39B-3F7B66792B43} - System32\Tasks\{8CCD3AE1-D58E-41B9-8DC3-A9FC68A1C1DE} => C:\Users\PC\Desktop\АРМ\setup.exe  (Нет файла)
Task: {4CE5691E-5E0F-4DB4-A0BC-C7C59BCC0F9B} - System32\Tasks\{C4CCA7E5-B897-49F2-B37E-24BC966B04A7} => C:\Users\PC\Desktop\АРМ\setup.exe  (Нет файла)
Task: {1D13D13E-85B5-44B4-81BF-670160804CA4} - System32\Tasks\Driver Booster SkipUAC (PC) => C:\Program Files\IObit\Driver Booster\4.2.0\DriverBooster.exe  /skipuac (Нет файла)
Task: {9BFEBDF3-2481-4AA6-80AB-2080D9F6CBF9} - System32\Tasks\MailRuUpdateTask => C:\Users\PC\AppData\Local\Mail.Ru\MailRuUpdater.exe  --scheduler (Нет файла) <==== ВНИМАНИЕ
Task: {4AB6C025-7CCF-485A-A90D-AF3BC2F6F334} - System32\Tasks\SputnikClient.Updater => C:\Program Files\SputnikLab\Sputnik\Application\5.6.6290.0\sputnik_client.exe [9485552 2021-11-18] (SPUTNIKLAB LLC -> Sputnik.ru)
Task: C:\Windows\Tasks\One System CarePeriod.job => C:\Program Files\OneSystemCare\OneSystemCare.exe <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1756489948-861854471-1163308541-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF NetworkProxy: Mozilla\Firefox\Profiles\8z15stsv.default -> http", "127.0.0.1"
S4 FileMonitor; \??\C:\Program Files\IObit\IObit Malware Fighter\Drivers\win7_x86\FileMonitor.sys [X]
S3 RegFilter; \??\C:\Program Files\IObit\IObit Malware Fighter\drivers\win7_x86\regfilter.sys [X]
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files\IObit\Advanced SystemCare\ASCExtMenu.dll -> Нет файла
ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\System32\IObitSmartDefragExtension.dll -> Нет файла
ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\System32\IObitSmartDefragExtension.dll -> Нет файла
Toolbar: HKU\S-1-5-21-1756489948-861854471-1163308541-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-1756489948-861854471-1163308541-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
FirewallRules: [{4D6634AC-00EF-4E66-8B74-27CA5B81948E}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{7AF66DB8-1AE4-4B69-A74D-4388A3888591}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe => Нет файла
FirewallRules: [{3EADFC87-EB83-491F-805A-E6B268A9577C}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{35572585-2EC7-434B-A231-E873ECEAB640}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe => Нет файла
FirewallRules: [{273DBA35-1D38-4D45-A469-65C84F309484}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{BB08F933-5521-4FAE-8E66-23EA4BDE4387}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe => Нет файла
FirewallRules: [{4EC45FF7-0F76-41F7-8562-1B4F827B42DB}] => (Allow) C:\Program Files\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{8324E52E-0A72-4C10-985A-647A16FDF5A5}] => (Allow) C:\Program Files\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{8A251890-1DFA-4504-9DD4-2B121B9F617C}] => (Allow) C:\Program Files\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{3C16D01A-E735-4193-B2F1-67B870318CAE}] => (Allow) C:\Program Files\360\Total Security\360TsLiveUpd.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Но тут следов заражения вымогателем тоже не видно.