Lockbit black помогите почистить
Добрый день
Помогите почистить комп от последствий заражения - недоступен диспетчер задач, планировщик заданий
Расшифровать файлы видимо уже не удастся?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Yrzorg , спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект .
Не только последствия, сам шифровальщик устранить надо.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe :
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\elena\appdata\local\temp\rar$exa7736.4924\Информация должнику.exe');
TerminateProcessByName('c:\users\elena\appdata\roaming\securityupdater.exe');
QuarantineFile('c:\users\elena\appdata\local\temp\rar$exa7736.4924\Информация должнику.exe', '');
QuarantineFile('C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BraveUpdate.exe', '');
QuarantineFile('c:\users\elena\appdata\roaming\securityupdater.exe', '');
QuarantineFile('C:\Users\Elena\AppData\Roaming\Service.exe', '');
DeleteFile('c:\users\elena\appdata\local\temp\rar$exa7736.4924\Информация должнику.exe', '');
DeleteFile('C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BraveUpdate.exe', '');
DeleteFile('C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BraveUpdate.exe', '64');
DeleteFile('c:\users\elena\appdata\roaming\securityupdater.exe', '');
DeleteFile('C:\Users\Elena\AppData\Roaming\SecurityUpdater.exe', '32');
DeleteFile('C:\Users\Elena\AppData\Roaming\SecurityUpdater.exe', '64');
DeleteFile('C:\Users\Elena\AppData\Roaming\Service.exe', '32');
DeleteFile('C:\Users\Elena\AppData\Roaming\Service.exe', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SecurityUpdater', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SecurityUpdater', '64');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows', '64');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(11);
RebootWindows(true);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его ещё в один архив с паролем , выложите в облако или на файлообменник и дайте ссылку с паролем в личном сообщении.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки :
Код:
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)
Упакуйте записку о выкупе и 2-3 небольших зашифрованных файла в архив и приложите к сообщению.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать .
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Карантин отправил личным сообщением
диспетчер задач работает
Вложения
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
Systemrestore: on
CreateRestorePoint:
CHR HKU\S-1-5-21-776968244-1526494663-3636301574-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
2023-02-18 18:32 - 2023-02-20 08:36 - 000001492 _____ () C:\Users\Elena\AppData\Roaming\lfzW75qG7.README.txt
2022-06-08 19:09 - 2022-06-08 19:09 - 000002209 _____ () C:\Users\Elena\AppData\Roaming\Microsoft\c241528f-a297-4834-aaac-06d88b3a3659.tmp
2023-02-18 18:34 - 2023-02-20 08:36 - 000001492 _____ () C:\Users\Elena\AppData\Local\lfzW75qG7.README.txt
2023-02-18 20:46 - 2023-02-20 08:37 - 001572918 _____ C:\ProgramData\lfzW75qG7.bmp
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\Downloads\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\Documents\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\Desktop\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\AppData\Roaming\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\AppData\LocalLow\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\AppData\Local\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\AppData\lfzW75qG7.README.txt
2023-02-18 18:34 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\AppData\LocalLow\lfzW75qG7.README.txt
2023-02-18 18:34 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\AppData\Local\lfzW75qG7.README.txt
2023-02-18 18:32 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\AppData\Roaming\lfzW75qG7.README.txt
2023-02-18 18:32 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\AppData\lfzW75qG7.README.txt
2023-02-18 18:31 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\Documents\lfzW75qG7.README.txt
2023-02-18 18:31 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\Desktop\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\Downloads\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\Downloads\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\Documents\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\Desktop\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\AppData\Roaming\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\AppData\LocalLow\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\AppData\Local\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\AppData\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\lfzW75qG7.README.txt
2019-07-17 17:20 C:\ProgramData\McAfee
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
EmptyTemp:
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt ). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj .
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt .
Приложите этот файл к своему следующему сообщению.
Вложения
Adobe Flash Player 32 PPAPI v.32.0.0.465
Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Удалите Flash Player, устарел и не нужен.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Расшифровки нет.
Как поймали, через RDP подключились?