Закрыто Вирус-шифровальщик Writeme100@tuta.io

[S_Che]

Приветствую.
поймал вируса Writeme100@tuta.io
само тело вируса есть на 2-х выключенных компьютерах ( на момент выключения как минимум на одном был еще активен )- на этом антивирус его уже удалил.
тело вируса называлось AntiR.exe
Прошу помощи в расшифровке

 

[akok]

Это Phobos, для этого вымогателя пока нет способа дешифровки данных. Система под переустановку или попробуем почистить?

 

[S_Che]

ну, лучше конечно почистить...

 

[akok]

Смотрю, даже ярлыки пошифровало. Проверьте работоспособность установленного ПО, шифровали все подряд и могли повредить
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [VMware User Process] => "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr (No File)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
  Windows -> Microsoft Corporation)
  IFEO\osk.exe: [Debugger] C:\windows\system32\cmd.exe
  Startup: C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup - Shortcut.lnk.id[46443C10-3351].[Writeme100@tuta.io].LIZARD [2022-08-15]
  Task: {06EC07CC-30D2-40AE-B54E-88554C0E60DA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (No File)
  FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [No File]
  FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [No File]
  FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [No File]
  FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [No File]
  CustomCLSID: HKU\S-1-5-21-1076160075-80169379-2480467726-1105_Classes\CLSID\{803144C8-17E6-4926-86C5-C195B6D226D4}\InprocServer32 -> C:\Program Files\1cv8\8.3.18.1289\bin\radmin.dll => No File
  CustomCLSID: HKU\S-1-5-21-1076160075-80169379-2480467726-1105_Classes\CLSID\{A42674D4-2D97-4988-A81D-2C113CC42A95}\InprocServer32 -> C:\Program Files\1cv8\8.3.18.1289\bin\radmin.dll => No File
  ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!