Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Зашифровали компьютер, прошу помочь в расшифровке

hopeandhonest@smime.ninja  ИД 2A89FD49-15216118

Файлы сгенерированы как описано в инструкции

files.rar Addition.txt FRST.txt

Опубликовано

А логи Farbar почему сделаны древней версией?

 

Опубликовано (изменено)
Цитата

А логи Farbar почему сделаны древней версией?

Скачал по зеркалу, с основной ссылки система ругается, что вредоносное ПО,
 

Изменено пользователем СМСергей
цитата
Опубликовано

Меньше нужно обращать внимания на подобную ругань. Переделывайте.

Опубликовано
10 минут назад, thyrex сказал:

Меньше нужно обращать внимания на подобную ругань. Переделывайте.

готово

Addition.txt FRST.txt

Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKU\S-1-5-19\...\Run: [] => [X]
HKU\S-1-5-20\...\RunOnce: [] => [X]
HKU\S-1-5-21-3046764017-3922122517-4190637507-1005\...\Run: [] => [X]
HKU\S-1-5-21-3046764017-3922122517-4190637507-1005\...\Run: [VkontakteDJ] => C:\VkontakteDJ\VKontakteDJ.exe /H (No File)
HKU\S-1-5-18\...\Run: [] => [X]
HKU\S-1-5-18\...\Run: [VkontakteDJ] => C:\VkontakteDJ\VKontakteDJ.exe /H (No File)
2022-08-11 00:44 - 2022-08-11 00:44 - 000001794 _____ C:\Documents and Settings\апельсин\Мои документы\how_to_decrypt.hta
2022-08-11 00:44 - 2022-08-11 00:44 - 000001794 _____ C:\Documents and Settings\апельсин\how_to_decrypt.hta
2022-08-11 00:42 - 2022-08-11 00:42 - 000001794 _____ C:\Documents and Settings\апельсин\Главное меню\Программы\how_to_decrypt.hta
2022-08-11 00:42 - 2022-08-11 00:42 - 000001794 _____ C:\Documents and Settings\апельсин\Главное меню\how_to_decrypt.hta
2022-08-11 00:38 - 2022-08-11 00:38 - 000001794 _____ C:\Documents and Settings\апельсин\Local Settings\Temp\how_to_decrypt.hta
2022-08-11 00:25 - 2022-08-11 00:25 - 000001794 _____ C:\Documents and Settings\апельсин\Application Data\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Рабочий стол\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Мои документы\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Главное меню\Программы\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Главное меню\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\Local Settings\Temp\how_to_decrypt.hta
2022-08-11 00:20 - 2022-08-11 00:20 - 000001794 _____ C:\Documents and Settings\Andrey\how_to_decrypt.hta
2022-08-11 00:19 - 2022-08-11 00:19 - 000001794 _____ C:\Documents and Settings\Andrey\Application Data\how_to_decrypt.hta
2022-08-11 00:19 - 2022-08-11 00:19 - 000001794 _____ C:\Documents and Settings\All Users\Application Data\how_to_decrypt.hta
Folder: C:\Documents and Settings\Andrey\Рабочий стол\act sng
End::
[/code]


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

  • Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

Опубликовано

Спасибо большое, Всё расшифровалось. В четыре этапа. Можно закрывать вопрос.

Опубликовано

Удачи. Будьте осторожны, потому как в следующий раз так может не повезти

  • thyrex изменил название на [РАСШИФРОВАНО] зашифровали hopeandhonest@smime.ninja 2A89FD49-15216118
  • thyrex закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Valek777
      Автор Valek777
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 419D9A8EFC43B7B3A621|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 419D9A8EFC43B7B3A621|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.03.27-22.57.zip
    • СергейПенза
      Автор СергейПенза
      Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl
      Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected
      Заранее спасибо!
       

      Строгое предупреждение от модератора Roman_Five Зловреда выкладывать не надо! CollectionLog-2015.01.29-11.52.zip
    • vi-ego
      Автор vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
    • vkams
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
    • ArtMaster7
      Автор ArtMaster7
      Доброго времени суток.
      Помогите....
      Получил 02.12.2015 письмо из налоговой, открыл и появились проблемы....
       
      CollectionLog-2016.01.17-01.05.zip
×
×
  • Создать...