• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Шифровальщик NS2.exe

Переводчик Google
Wolvevilil

Wolvevilil

Новый пользователь
Сообщения
3
Реакции
0
На компьютер со сделанным туннелем на RDP порт прилетел шифровальщик, лежит в архиве Шифровальщик, пароль virus. В архиве Логи результаты скана FRST.exe, в архиве Файлы 2 шифрованных файла и записка.
 

Вложения

Раз уж сидят в памяти, снимите дампы процессов:

C:\Users\MACROSCOP\AppData\Local\317FBF99-D7E7-E34E-DBBF-417FBC63E83A\000_PP0_100-43.exe
C:\Users\MACROSCOP\Documents\NS v.2.exe
Нажмите для раскрытия...

И пришлите эти файлы тоже.
 
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
C:\Users\MACROSCOP\AppData\Local\317FBF99-D7E7-E34E-DBBF-417FBC63E83A\000_PP0_100-43.exe
File: C:\Users\MACROSCOP\Documents\NS v.2.exe
Task: {10467528-849F-4E68-80D1-1C9A28D0E401} - System32\Tasks\ASUS\NoiseCancelingEngine => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\MBLedSDK\NoiseCancelingEngine.exe  (Нет файла)
Task: {310B08A4-D438-40F3-96A3-C83B81F3D40F} - System32\Tasks\ASUS\P508PowerAgent_sdk => C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe  (Нет файла)
2026-05-30 09:28 - 2026-05-30 09:28 - 000000959 _____ C:\Users\MACROSCOP\AppData\Local\DECRYPT_FILES.txt
2026-05-30 09:28 - 2026-05-30 09:28 - 000000959 _____ C:\DECRYPT_FILES.txt
2026-05-30 09:28 - 2026-05-30 09:28 - 000000959 _____ () C:\Users\MACROSCOP\AppData\Local\DECRYPT_FILES.txt
2026-05-30 09:28 C:\Users\MACROSCOP\AppData\Local\317FBF99-D7E7-E34E-DBBF-417FBC63E83A
FirewallRules: [{3C155239-5176-4E95-A7F4-F198B5718050}] => (Allow) C:\Users\MACROSCOP\AppData\Local\Packages\B9ECED6F.ArmouryCrate_qmba6cd70vzyy\LocalState\GridUpdateFile\ASUSGCDriverUpdateClient.exe => Нет файла
Zip: C:\FRST\Quarantine
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.

Файл вида Дата_Время.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru (если сайт сообщает о вирусе в архиве, упакуйте архив в архив с паролем virus), ссылку пришлите на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля в теле письма.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу