Lockbit black помогите почистить

[Yrzorg]

Добрый день
Помогите почистить комп от последствий заражения - недоступен диспетчер задач, планировщик заданий
Расшифровать файлы видимо уже не удастся?

[Info_bot]

Уважаемый(ая) Yrzorg, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Не только последствия, сам шифровальщик устранить надо.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\elena\appdata\local\temp\rar$exa7736.4924\Информация должнику.exe');
 TerminateProcessByName('c:\users\elena\appdata\roaming\securityupdater.exe');
 QuarantineFile('c:\users\elena\appdata\local\temp\rar$exa7736.4924\Информация должнику.exe', '');
 QuarantineFile('C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BraveUpdate.exe', '');
 QuarantineFile('c:\users\elena\appdata\roaming\securityupdater.exe', '');
 QuarantineFile('C:\Users\Elena\AppData\Roaming\Service.exe', '');
 DeleteFile('c:\users\elena\appdata\local\temp\rar$exa7736.4924\Информация должнику.exe', '');
 DeleteFile('C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BraveUpdate.exe', '');
 DeleteFile('C:\Users\Elena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BraveUpdate.exe', '64');
 DeleteFile('c:\users\elena\appdata\roaming\securityupdater.exe', '');
 DeleteFile('C:\Users\Elena\AppData\Roaming\SecurityUpdater.exe', '32');
 DeleteFile('C:\Users\Elena\AppData\Roaming\SecurityUpdater.exe', '64');
 DeleteFile('C:\Users\Elena\AppData\Roaming\Service.exe', '32');
 DeleteFile('C:\Users\Elena\AppData\Roaming\Service.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SecurityUpdater', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SecurityUpdater', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(11);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его ещё в один архив с паролем, выложите в облако или на файлообменник и дайте ссылку с паролем в личном сообщении.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKU\S-1-5-18\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)

Упакуйте записку о выкупе и 2-3 небольших зашифрованных файла в архив и приложите к сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Yrzorg]

Карантин отправил личным сообщением
диспетчер задач работает

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Systemrestore: on
CreateRestorePoint:
CHR HKU\S-1-5-21-776968244-1526494663-3636301574-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
2023-02-18 18:32 - 2023-02-20 08:36 - 000001492 _____ () C:\Users\Elena\AppData\Roaming\lfzW75qG7.README.txt
2022-06-08 19:09 - 2022-06-08 19:09 - 000002209 _____ () C:\Users\Elena\AppData\Roaming\Microsoft\c241528f-a297-4834-aaac-06d88b3a3659.tmp
2023-02-18 18:34 - 2023-02-20 08:36 - 000001492 _____ () C:\Users\Elena\AppData\Local\lfzW75qG7.README.txt
2023-02-18 20:46 - 2023-02-20 08:37 - 001572918 _____ C:\ProgramData\lfzW75qG7.bmp
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\Downloads\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\Documents\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\Desktop\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\AppData\Roaming\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\AppData\LocalLow\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\AppData\Local\lfzW75qG7.README.txt
2023-02-18 18:37 - 2023-02-20 08:36 - 000001492 _____ C:\Users\administrator\AppData\lfzW75qG7.README.txt
2023-02-18 18:34 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\AppData\LocalLow\lfzW75qG7.README.txt
2023-02-18 18:34 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\AppData\Local\lfzW75qG7.README.txt
2023-02-18 18:32 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\AppData\Roaming\lfzW75qG7.README.txt
2023-02-18 18:32 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\AppData\lfzW75qG7.README.txt
2023-02-18 18:31 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\Documents\lfzW75qG7.README.txt
2023-02-18 18:31 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\Desktop\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\Elena\Downloads\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\Downloads\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\Documents\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\Desktop\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\AppData\Roaming\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\AppData\LocalLow\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\AppData\Local\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\Users\elena.PETER\AppData\lfzW75qG7.README.txt
2023-02-18 18:30 - 2023-02-20 08:36 - 000001492 _____ C:\lfzW75qG7.README.txt
2019-07-17 17:20 C:\ProgramData\McAfee
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
EmptyTemp:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Yrzorg]

Сделано

[Vvvyg]

Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

Удалите Flash Player, устарел и не нужен.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Расшифровки нет.

Как поймали, через RDP подключились?