Закрыто Шифровальщик .pHv1 [phfmzpqbn@petml.com]

[BABIKOFF]

Файлы зашифрованы
исходный и зашифрованный по ссылке

DropMeFiles – free one-click file sharing service

Share your pictures, send large videos, exchange music or transfer big files. No registration required. Unlimited upload/download speed.

dropmefiles.com

 

[BABIKOFF]

 

[Sandor]

Здравствуйте!

К сожалению, для этой версии нет расшифровки и пара файлов не поможет.
Если нужна помощь в очистке системы от возможных следов вымогателя, выполните правила. Логи прикрепляйте к сообщению.

 

[BABIKOFF]

Логи в прицепе
файл шифровальщик не нашел

 

[BABIKOFF]

файл с шифровальщиком скорее всего

 

[Sandor]

Логи собраны в безопасном режиме. Почему? В обычном не грузится?

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  2021-12-20 11:44 - 2021-12-20 13:45 - 000005461 _____ C:\Users\Public\Desktop\info.hta
  2021-12-20 11:44 - 2021-12-20 13:45 - 000005461 _____ C:\Users\admin\Desktop\info.hta
  2021-12-20 11:44 - 2021-12-20 13:45 - 000005461 _____ C:\info.hta
  2021-12-20 11:44 - 2021-12-20 13:45 - 000000186 _____ C:\Users\Public\Desktop\info.txt
  2021-12-20 11:44 - 2021-12-20 13:45 - 000000186 _____ C:\Users\admin\Desktop\info.txt
  2021-12-20 11:44 - 2021-12-20 13:45 - 000000186 _____ C:\info.txt
  zip: C:\Windows\svchost.com
  2021-12-20 08:09 - 2021-12-20 08:09 - 000041472 _____ C:\Windows\svchost.com
  HKLM\...\exefile\shell\open\command: C:\Users\admin\WINDOWS\svchost.com "%1" %* <==== ВНИМАНИЕ
  FirewallRules: [{8526514C-A095-425E-A407-B61BDF41E844}] => (Allow) LPort=475
  FirewallRules: [{70521B67-4C53-4130-A5C7-67465D4A4DA2}] => (Allow) LPort=475
  FirewallRules: [{635915FF-1672-40C8-8C66-B7C7B4FB3F02}] => (Allow) LPort=475
  FirewallRules: [{47660C5D-87BD-431A-958E-4DD9A10E501B}] => (Allow) LPort=475
  FirewallRules: [{BD501402-4D40-4FD5-AF1B-9E61424AA7F8}] => (Allow) LPort=475
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

файл с шифровальщиком скорее всего

Нет, это записка с требованием выкупа. Сам вымогатель скорее всего был уничтожен. Но при этом заражении он и не требуется.

 

[BABIKOFF]

лог и архив в приложении, на почту отправить не смог -Яндекс пишет о вирусе

 

[Sandor]

Скрипт достаточно было один раз выполнить.
Вы не ответили:

Логи собраны в безопасном режиме. Почему? В обычном не грузится?

 

[BABIKOFF]

Скрипт достаточно было один раз выполнить.
Вы не ответили:

в обычном режиме не дает запустить ничего,
процессы закрываются сразу

 

[Sandor]

Да, там у вас ещё и файловое заражение.
Пролечите систему как описано в этой теме.
Рекомендую использовать KRD.

 

[BABIKOFF]

KRD нет возможности использовать, физически доступа к машине нет.
пролечил CureIT ом
лог оттуда в прицепе

 

[Sandor]

Увы, от файлового вируса избавиться можно только используя LiveCD (или USB).

 

[BABIKOFF]

Шансов на дешифровку нет?

 

[akok]

Шансов на дешифровку нет?

Нет.

 

[Sandor]

Шансов на дешифровку нет?

Если речь о базах данных, посмотрите закрепленные ссылки в начале этой темы.

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!