Показано с 1 по 8 из 8.

Lockbit black Ransomware (заявка № 228618)

  1. #1
    Junior Member Репутация
    Регистрация
    09.12.2014
    Сообщений
    13
    Вес репутации
    36

    Lockbit black Ransomware

    расширение 39S4uReb9
    Lockbit black Ransomware
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    379
    Уважаемый(ая) ilmirr, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,756
    Вес репутации
    1066
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\programdata\93d6.tmp');
     TerminateProcessByName('c:\users\ilmir\appdata\local\temp\rar$exa25124.11858\aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe');
     TerminateProcessByName('c:\users\ilmir\appdata\roaming\998333944.tmp.exe');
     TerminateProcessByName('c:\users\ilmir\appdata\roaming\sputnikupdater.exe');
     QuarantineFile('c:\programdata\93d6.tmp', '');
     QuarantineFile('c:\users\ilmir\appdata\local\temp\rar$exa25124.11858\aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe', '');
     QuarantineFile('c:\users\ilmir\appdata\roaming\998333944.tmp.exe', '');
     QuarantineFile('C:\Users\Ilmir\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\39S4uReb9.README.txt', '');
     QuarantineFile('c:\users\ilmir\appdata\roaming\sputnikupdater.exe', '');
     DeleteFile('c:\program files (x86)\mobilebrserv\mbbservice.exe', '');
     DeleteFile('c:\programdata\93d6.tmp', '');
     DeleteFile('c:\users\ilmir\appdata\local\temp\rar$exa25124.11858\aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe', '');
     DeleteFile('C:\Users\Ilmir\AppData\Local\Temp\Rar$EXa25124.11858\Aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe', '32');
     DeleteFile('C:\Users\Ilmir\AppData\Local\Temp\Rar$EXa25124.11858\Aкт сверки взаимных расчетов предприятия за период 1 марта - 24 июня 2024 года .exe', '64');
     DeleteFile('c:\users\ilmir\appdata\roaming\998333944.tmp.exe', '');
     DeleteFile('C:\Users\Ilmir\AppData\Roaming\998333944.tmp.exe', '32');
     DeleteFile('C:\Users\Ilmir\AppData\Roaming\998333944.tmp.exe', '64');
     DeleteFile('c:\users\ilmir\appdata\roaming\sputnikupdater.exe', '');
     DeleteFile('C:\Users\Ilmir\AppData\Roaming\SputnikUpdater.exe', '64');
     DeleteDirectory('C:\Users\Ilmir\AppData\Local\Temp\Rar$EXa25124.11858');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '998333944.tmp', '32');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '998333944.tmp', '64');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BraveUpdater.exe', '32');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BraveUpdater.exe', '64');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     DeleteSchedulerTask('SputnikUpdater');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

    Упакуйте в архив записку о выкупе и пару зашифрованных файлов небольшого размера, прикрепите к следующему сообщению.

    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O15 - Trusted Zone: hxxp://localhost
    O15 - Trusted Zone: hxxp://webcompanion.com
    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    09.12.2014
    Сообщений
    13
    Вес репутации
    36

    Файлы

    Файлы
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,756
    Вес репутации
    1066
    Системный антивирус сами отключали?
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    09.12.2014
    Сообщений
    13
    Вес репутации
    36
    нет

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,756
    Вес репутации
    1066
    Там, похоже, многие системные службы выкорчеваны, не только защитник. Можно попробовать восстановить, но не факт, что всё удастся.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    Systemrestore: On
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
    HKU\S-1-5-21-3303034780-4038527110-2213390670-1001\...\Policies\Explorer: [] 
    Virusscan: C:\ProgramData\AAC9.tmp
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    CMD: SFC /scannow
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите.
    Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен.

    Скачайте Farbar Service Scanner

    Запустите.
    Убедитесь, что отмечены все пункты:
    Internet Services
    Windows Firewall
    System Restore
    Security Center/Action Center
    Windows Update
    Windows Defender
    Other services

    Нажмите кнопку "Scan"

    Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
    Прикрепите этот файл к своему сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    09.12.2014
    Сообщений
    13
    Вес репутации
    36

    Fixlog и FSS

    Fixlog и FSS
    Вложения Вложения
    • Тип файла: txt FSS.txt (5.3 Кб, 2 просмотров)
    • Тип файла: txt Fixlog.txt (9.6 Кб, 1 просмотров)

Похожие темы

  1. Lockbit black помогите почистить
    От Yrzorg в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 21.02.2023, 20:41
  2. Windows XP SP3 Black Edition - перехватчики
    От surok в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 09.04.2009, 15:26
  3. Packed.Win32.Black.a Помогите удалить
    От лиса001 в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 13.03.2009, 12:27
  4. Black Hat: Ицик Котлер создал кроссплатформенный троян для Firefox
    От akok в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 09.08.2008, 14:22
  5. XP Black Edition и MUI
    От chronop в разделе Microsoft Windows
    Ответов: 1
    Последнее сообщение: 06.05.2008, 15:01

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01525 seconds with 19 queries