Перейти к содержимому


Фотография
- - - - -

файлы зашифрованы id-04908180.[supp37@cock.li].wrar

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 8

#1 OFF   Андрей Журавлев

Андрей Журавлев

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 26 Январь 2020 - 08:15

 

Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar

 

Также сообщение

 

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

 

 


Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar

 

Также сообщение

 

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li
Write this ID in the title of your message 04908180
In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. 

Прикрепляю логи  Farbar

Прикрепленные файлы

  • Прикрепленный файл  FRST.rar   70,2К   скачиваний 1
  • Прикрепленный файл  FRST.rar   70,2К   скачиваний 0

Сообщение отредактировал Андрей Журавлев: 26 Январь 2020 - 08:12

  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 999

Награды

           

Отправлено 26 Январь 2020 - 09:28

C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.in...s.php?tid=37678

1. Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\...\Run: [xxx.exe] => C:\Users\Администратор\AppData\Roaming\xxx.exe [94720 2020-01-26] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13904 2020-01-26] () [File not signed]
HKLM\...\Run: [C:\Users\Наталья\AppData\Roaming\Info.hta] => C:\Users\Наталья\AppData\Roaming\Info.hta [13904 2020-01-25] () [File not signed]
HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13904 2020-01-26] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed]
Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-25] () [File not signed]
Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-25] () [File not signed]
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy-x32: Restriction - Chrome <==== ATTENTION
C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe
C:\Users\Администратор\AppData\Roaming\xxx.exe
Task: {5C715C86-11F9-4FA6-9C89-8688B10172A1} - \KMSAutoNet -> No File <==== ATTENTION
Task: {5D825102-6066-4A7E-86DA-1FA20A42E2AC} - System32\Tasks\GoogleUpdateTaskMachineLS => C:\Users\Наталья\AppData\Roaming\Oracle\Secure\9989F31B-1ED9-41F3-8AC1-7CBE6415C30E\javsecc.exe <==== ATTENTION
BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL => No File
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL => No File
BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => No File
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll No File
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL No File
SearchScopes: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> A6971567146397A37C6BB2C0A182CEDE URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=&src=crm&q={searchTerms}&locale=
2020-01-26 09:27 - 2020-01-26 09:27 - 000013904 _____ C:\Users\Администратор\AppData\Roaming\Info.hta
2020-01-26 09:27 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000013904 _____ C:\Windows\system32\Info.hta
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\FILES ENCRYPTED.txt
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютеранужно выполнить вручную после данного скрипта.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   Андрей Журавлев

Андрей Журавлев

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 26 Январь 2020 - 11:53

файл во вложении

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   9,57К   скачиваний 0

  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 999

Награды

           

Отправлено 26 Январь 2020 - 12:35


C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.in...s.php?tid=37678

Это я сам с собой поговорил?

 

С расшифровкой помочь не сможем.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Андрей Журавлев

Андрей Журавлев

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 26 Январь 2020 - 12:36

  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  C:\Users\Администратор\AppData\Roaming\xxx.exe
файл найти не могу


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 999

Награды

           

Отправлено 26 Январь 2020 - 13:36

После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались.


  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   Андрей Журавлев

Андрей Журавлев

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 27 Январь 2020 - 09:33

После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались.

Добрый день, файл нашли в удаленных копиях. Восстановили и загрузили архив по ссылке https://virusinfo.in...s.php?tid=37678


  • 0

#8 OFF   Андрей Журавлев

Андрей Журавлев

    Новичок

  • Новички
  • Cообщений: 5

Отправлено 27 Январь 2020 - 12:27

Скажите пожалуйста, вы сможете мне помочь?
  • 0

#9 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 999

Награды

           

Отправлено 27 Январь 2020 - 16:20

Выше я уже писал


С расшифровкой помочь не сможем.
Расшифровки нет ни у одной антивирусной компании.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных