• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Вирус-шифровальщик Writeme100@tuta.io

Статус
В этой теме нельзя размещать новые ответы.

S_Che

Новый пользователь
Сообщения
2
Реакции
0
Приветствую.
поймал вируса Writeme100@tuta.io
само тело вируса есть на 2-х выключенных компьютерах ( на момент выключения как минимум на одном был еще активен )- на этом антивирус его уже удалил.
тело вируса называлось AntiR.exe
Прошу помощи в расшифровке
 

Вложения

Это Phobos, для этого вымогателя пока нет способа дешифровки данных. Система под переустановку или попробуем почистить?
 
ну, лучше конечно почистить...
 
Смотрю, даже ярлыки пошифровало. Проверьте работоспособность установленного ПО, шифровали все подряд и могли повредить
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Run: [VMware User Process] => "C:\Program Files\VMware\VMware Tools\vmtoolsd.exe" -n vmusr (No File)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
    Windows -> Microsoft Corporation)
    IFEO\osk.exe: [Debugger] C:\windows\system32\cmd.exe
    Startup: C:\Users\temp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup - Shortcut.lnk.id[46443C10-3351].[Writeme100@tuta.io].LIZARD [2022-08-15]
    Task: {06EC07CC-30D2-40AE-B54E-88554C0E60DA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (No File)
    FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~1\Office14\NPAUTHZ.DLL [No File]
    FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [No File]
    FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [No File]
    FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [No File]
    CustomCLSID: HKU\S-1-5-21-1076160075-80169379-2480467726-1105_Classes\CLSID\{803144C8-17E6-4926-86C5-C195B6D226D4}\InprocServer32 -> C:\Program Files\1cv8\8.3.18.1289\bin\radmin.dll => No File
    CustomCLSID: HKU\S-1-5-21-1076160075-80169379-2480467726-1105_Classes\CLSID\{A42674D4-2D97-4988-A81D-2C113CC42A95}\InprocServer32 -> C:\Program Files\1cv8\8.3.18.1289\bin\radmin.dll => No File
    ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => C:\Program Files\WinRAR\rarext32.dll -> No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу