• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Вирус-шифровальщик Writeme100@tuta.io

Статус
В этой теме нельзя размещать новые ответы.

S_Che

Новый пользователь
Сообщения
2
Реакции
0
Приветствую.
поймал вируса Writeme100@tuta.io
само тело вируса есть на 2-х выключенных компьютерах ( на момент выключения как минимум на одном был еще активен )- на этом антивирус его уже удалил.
тело вируса называлось AntiR.exe
Прошу помощи в расшифровке
 

Вложения

  • Addition.txt
    26.2 KB · Просмотры: 2
  • files.rar
    47.7 KB · Просмотры: 1
  • FRST.txt
    71.7 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,825
Реакции
14,272
Это Phobos, для этого вымогателя пока нет способа дешифровки данных. Система под переустановку или попробуем почистить?
 

S_Che

Новый пользователь
Сообщения
2
Реакции
0
ну, лучше конечно почистить...
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,825
Реакции
14,272
Смотрю, даже ярлыки пошифровало. Проверьте работоспособность установленного ПО, шифровали все подряд и могли повредить
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [VMware User Process] => "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr (No File)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
    Windows -> Microsoft Corporation)
    IFEO\osk.exe: [Debugger] C:\windows\system32\cmd.exe
    Startup: C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup - Shortcut.lnk.id[46443C10-3351].[Writeme100@tuta.io].LIZARD [2022-08-15]
    Task: {06EC07CC-30D2-40AE-B54E-88554C0E60DA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (No File)
    FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [No File]
    FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [No File]
    FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [No File]
    FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [No File]
    CustomCLSID: HKU\S-1-5-21-1076160075-80169379-2480467726-1105_Classes\CLSID\{803144C8-17E6-4926-86C5-C195B6D226D4}\InprocServer32 -> C:\Program Files\1cv8\8.3.18.1289\bin\radmin.dll => No File
    CustomCLSID: HKU\S-1-5-21-1076160075-80169379-2480467726-1105_Classes\CLSID\{A42674D4-2D97-4988-A81D-2C113CC42A95}\InprocServer32 -> C:\Program Files\1cv8\8.3.18.1289\bin\radmin.dll => No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,975
Реакции
2,944
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу