Перейти к содержанию

Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы

Дмитрий_0507
 Поделиться

Рекомендуемые сообщения

Дмитрий_0507 Новичок

Дмитрий_0507

Опубликовано
Опубликовано

Доброго времени суток! Появилась такая проблема...

Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Нашёл тему на вашем форуме сделал всё по инструкции вот информация....

 

 

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
17E2E9AC9F978817730E|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
17E2E9AC9F978817730E|0
to e-mail address decode00001@gmail.com or decode00002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.03.10-20.53.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\XTab\SupTab.dll','');
QuarantineFile('C:\Program Files\xtab\suptab.dll','');
QuarantineFile('C:\Program Files\xtab\browerwatchff.dll','');
QuarantineFile('C:\Program Files\xtab\browerwatchch.dll','');
QuarantineFile('C:\Program Files\suppor~1\suppor~1.dll','');
QuarantineFile('C:\Program Files\YTDownloader\updater.exe','');
QuarantineFile('C:\Program Files\YTDownloader\YTDownloader.exe','');
QuarantineFile('C:\Users\Вероника\AppData\Roaming\UMVPT.exe','');
QuarantineFile('C:\Program Files\ver0BlockAndSurf\J6BlockAndSurfR79.exe','');
QuarantineFile('C:\Program Files\Adblock Plus for IE\AdblockPlus32.dll','');
QuarantineFile('C:\Users\Вероника\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Вероника\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Вероника\AppData\Roaming\3EB7CED0\bin.exe','');
QuarantineFile('C:\PROGRA~1\YTDOWN~1\sbmntr.sys','');
DeleteService('sbmntr');
SetServiceStart('webinstrNHKT', 4);
DeleteService('webinstrNHKT');
SetServiceStart('serverca', 4);
DeleteService('serverca');
SetServiceStart('ReimageRealTimeProtector', 4);
DeleteService('ReimageRealTimeProtector');
QuarantineFile('C:\Windows\system32\Drivers\webinstrNHKT.sys','');
TerminateProcessByName('c:\users\Вероника\appdata\local\wincheck\wincheck.exe');
QuarantineFile('c:\users\Вероника\appdata\local\wincheck\wincheck.exe','');
TerminateProcessByName('c:\program files\reimage\reimage protector\reisystem.exe');
TerminateProcessByName('c:\program files\reimage\reimage protector\reiguard.exe');
TerminateProcessByName('c:\users\Вероника\appdata\local\convertad\convertad.exe');
QuarantineFile('c:\users\Вероника\appdata\local\convertad\convertad.exe','');
TerminateProcessByName('c:\users\Вероника\appdata\local\convertad\casrv.exe');
QuarantineFile('c:\users\Вероника\appdata\local\convertad\casrv.exe','');
DeleteFile('c:\users\Вероника\appdata\local\convertad\casrv.exe','32');
DeleteFile('c:\users\Вероника\appdata\local\convertad\convertad.exe','32');
DeleteFile('c:\program files\reimage\reimage protector\reiguard.exe','32');
DeleteFile('c:\program files\reimage\reimage protector\reisystem.exe','32');
DeleteFile('c:\users\Вероника\appdata\local\wincheck\wincheck.exe','32');
DeleteFile('C:\Windows\system32\Drivers\webinstrNHKT.sys','32');
DeleteFile('C:\PROGRA~1\YTDOWN~1\sbmntr.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
DeleteFile('C:\Users\Вероника\AppData\Roaming\3EB7CED0\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','3EB7CED0');
DeleteFile('C:\Users\Вероника\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Вероника\AppData\Roaming\Browsers\exe.resworb.bat','32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
DeleteFile('C:\Program Files\ver0BlockAndSurf\J6BlockAndSurfR79.exe','32');
DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job','32');
DeleteFile('C:\Users\Вероника\AppData\Roaming\UMVPT.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
DeleteFile('C:\Windows\Tasks\UMVPT.job','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update','32');
DeleteFile('C:\Windows\system32\Tasks\ReimageUpdater','32');
DeleteFile('C:\Windows\system32\Tasks\YTDownloader','32');
DeleteFile('C:\Windows\system32\Tasks\YTDownloaderUpd','32');
DeleteFile('C:\Program Files\YTDownloader\YTDownloader.exe','32');
DeleteFile('C:\Program Files\YTDownloader\updater.exe','32');
DeleteFile('C:\Program Files\suppor~1\suppor~1.dll','32');
DeleteFile('C:\Program Files\xtab\browerwatchch.dll','32');
DeleteFile('C:\Program Files\xtab\browerwatchff.dll','32');
DeleteFile('C:\Program Files\xtab\suptab.dll','32');
DeleteFile('C:\Program Files\XTab\SupTab.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
     
    move.gif
     
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
Дмитрий_0507 Новичок

Дмитрий_0507

Опубликовано
  • Автор
Опубликовано

[VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2582569284]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

AdblockPlus32.dll,
bcqr00019.dat,
bcqr00020.dat,
bin.exe,
casrv.exe,
convertad.exe,
exe.erolpxei.bat,
exe.resworb.bat,
J6BlockAndSurfR79.exe,
suppor~1.dll,
webinstrNHKT.sys,
wincheck.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

browerwatchch.dll,
browerwatchff.dll,
SupTab.dll

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Отчет о работе ClearLNK-<Дата>.log


Не понял какой именно отчёт отправить, так что отправлю оба

ClearLNK-11.03.2015_21-20.log

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

AdBlocker Manger

Babylon toolbar

BlockAndSurf

Click Caption 1.10.0.6

ConvertAd

mystartsearch uninstall

WinCheck

YoutubeAdBBlocke

 

удалите через Установку программ

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
HKLM\...\Run: [gmsd_ru_97] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422017795&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422017795&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&q={searchTerms}
HKU\S-1-5-21-1801113023-785682824-775846970-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dspp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&q={searchTerms}
HKU\S-1-5-21-1801113023-785682824-775846970-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hppp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9
HKU\S-1-5-21-1801113023-785682824-775846970-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hppp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9
HKU\S-1-5-21-1801113023-785682824-775846970-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dspp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&q={searchTerms}
HKU\S-1-5-21-1801113023-785682824-775846970-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkID=226786&Mkt=ru-RU&Src=MSE&Tid=000328B0&OHP=http%3A%2F%2Fwww.mystartsearch.com%2F%3Ftype%3Dhppp%26ts%3D1422017822%26from%3Damt%26uid%3DST3500418AS%5F5VMN8FL9XXXX5VMN8FL9&OSP=http%3A%2F%2Fwww.mystartsearch.com%2Fweb%2F%3Ftype%3Ddspp%26ts%3D1422017822%26from%3Damt%26uid%3DST3500418AS%5F5VMN8FL9XXXX5VMN8FL9%26q%3D%7BsearchTerms%7D
SearchScopes: HKU\S-1-5-21-1801113023-785682824-775846970-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1801113023-785682824-775846970-1000 -> B15AE8AC290EE02B54534B9A59324459 URL = http://www.mystartsearch.com/web/?type=dspp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1801113023-785682824-775846970-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&ts=1422017860&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1801113023-785682824-775846970-1000 -> {1F096B29-E9DA-4D64-8D63-936BE7762CC5} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&ts=1422017860&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1801113023-785682824-775846970-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&ts=1422017860&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1801113023-785682824-775846970-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dspp&ts=1422017822&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1801113023-785682824-775846970-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&ts=1422017860&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1801113023-785682824-775846970-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=amt&utm_campaign=install_ie&utm_content=ds&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9&ts=1422017860&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1422017795&from=amt&uid=ST3500418AS_5VMN8FL9XXXX5VMN8FL9
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2015-01-22]
FF HKU\S-1-5-21-1801113023-785682824-775846970-1000\...\Firefox\Extensions: [{4C71EE00-E2F8-6E8A-FC4B-8C75895B5D2E}] - C:\Program Files\ver0BlockAndSurf\186.xpi
FF Extension: BlockAndSurf - C:\Program Files\ver0BlockAndSurf\186.xpi [2015-01-22]
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbar.crx [2010-12-28]
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
S2 YTDUpdt; C:\PROGRA~1\YTDOWN~1\YTDUPD~1.EXE [X]
2015-03-09 17:20 - 2015-03-09 18:05 - 00000000 ____D () C:\Program Files\Reimage
2015-03-05 19:42 - 2015-03-05 19:44 - 00000000 ____D () C:\Users\Все пользователи\Reimage Protector
2015-03-05 19:42 - 2015-03-05 19:44 - 00000000 ____D () C:\ProgramData\Reimage Protector
2015-03-05 19:41 - 2015-03-09 18:05 - 00000000 ____D () C:\rei
2015-03-04 22:24 - 2015-03-11 15:07 - 00000000 ___HD () C:\Users\Вероника\AppData\Roaming\3EB7CED0
2015-02-27 16:23 - 2015-02-27 16:33 - 00000000 ____D () C:\Program Files\Last Tab Keeper
2015-02-27 16:23 - 2015-02-27 16:33 - 00000000 ____D () C:\Program Files\Announcify
2015-02-27 15:23 - 2015-02-27 15:34 - 00000000 ____D () C:\Program Files\takuesaVE
2015-02-27 14:24 - 2015-02-27 14:34 - 00000000 ____D () C:\Program Files\dollArkeeeppera
2015-02-27 14:23 - 2015-02-27 14:34 - 00000000 ____D () C:\Program Files\dollarKeeper
2015-02-27 14:23 - 2015-02-27 14:34 - 00000000 ____D () C:\Program Files\77savE
2015-02-25 08:30 - 2015-02-25 08:40 - 00000000 ____D () C:\Program Files\5o0CCoUpeoans
2015-02-25 08:30 - 2015-02-25 08:30 - 00000000 ____D () C:\Program Files\BiitSSaveer
2015-02-25 08:29 - 2015-02-25 08:40 - 00000000 ____D () C:\Program Files\50CoupOnss
2015-02-13 13:54 - 2015-02-26 18:14 - 00000000 ____D () C:\Program Files\GreataSaVe44U
2015-02-13 13:54 - 2015-02-13 14:05 - 00000000 ____D () C:\Program Files\ShopDroop
2015-02-12 17:03 - 2015-03-09 18:41 - 00000000 ____D () C:\Users\Вероника\AppData\Roaming\iSmileg
2015-03-11 15:08 - 2015-01-23 21:57 - 00000000 ____D () C:\Program Files\XTab
2015-03-11 15:07 - 2015-01-27 15:33 - 00000000 ____D () C:\Users\Вероника\AppData\Roaming\Browsers
2015-03-11 15:07 - 2015-01-22 13:30 - 00000000 ____D () C:\Users\Вероника\AppData\Local\ConvertAd
2015-03-11 15:07 - 2015-01-22 13:30 - 00000000 ____D () C:\Program Files\ver0BlockAndSurf
2015-03-11 15:07 - 2015-01-20 19:54 - 00000000 ____D () C:\Users\Вероника\AppData\Local\wincheck
2015-03-11 11:55 - 2015-01-22 13:30 - 00001802 _____ () C:\Windows\patsearch.bin
2015-03-09 19:32 - 2015-01-23 21:59 - 00000000 ____D () C:\Program Files\YoutubeAdBBlocke
2015-03-09 19:32 - 2015-01-23 21:58 - 00000000 ____D () C:\Program Files\PPRIceLeSs
2015-03-09 19:32 - 2015-01-23 21:11 - 00000000 ____D () C:\Users\Вероника\AppData\Local\18541
2015-03-09 18:41 - 2015-01-23 21:57 - 00000000 ____D () C:\Users\Все пользователи\WindowsMangerProtect
2015-03-09 18:41 - 2015-01-23 21:57 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect
2015-03-09 18:41 - 2015-01-20 19:50 - 00000000 ____D () C:\Users\Вероника\AppData\Roaming\eTranslator
2015-03-05 14:26 - 2015-01-23 22:09 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro
2015-03-05 14:26 - 2015-01-23 21:58 - 00000000 ____D () C:\Users\Все пользователи\16593915823518549767
2015-03-05 14:26 - 2015-01-23 21:58 - 00000000 ____D () C:\ProgramData\16593915823518549767
2015-02-26 18:14 - 2015-02-06 11:34 - 00000000 ____D () C:\Program Files\Happy2SavE
2015-02-26 18:14 - 2015-01-31 23:00 - 00000000 ____D () C:\Program Files\CoupExotensiooN
2015-02-26 18:14 - 2015-01-30 19:49 - 00000000 ____D () C:\Program Files\CheApMe
2015-02-26 18:14 - 2015-01-30 18:49 - 00000000 ____D () C:\Program Files\FUnDeals
Task: {1368DE8C-90F7-4FE2-AF12-1A20EC893B80} - \SMupdate1 No Task File <==== ATTENTION
Task: {63AE9CD3-2AC2-4F66-A4FD-B110D21F597C} - \Microsoft\Windows\Multimedia\SMupdate3 No Task File <==== ATTENTION
Task: {8B937BEA-6683-4748-813B-4044FD1CB946} - \ReimageUpdater No Task File <==== ATTENTION
Task: {909473D5-ADAE-47E7-B800-519292DC79FB} - \YTDownloader No Task File <==== ATTENTION
Task: {C1253A84-5F00-4D00-9C5B-CC0EB53C85EA} - \Microsoft\Windows\Maintenance\SMupdate2 No Task File <==== ATTENTION
(Корпорация Майкрософт (Microsoft Corp.))
Task: {FF0A7F8D-3C11-4975-A4AB-E1979B57FDFA} - \YTDownloaderUpd No Task File <==== ATTENTION 
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
×
×
  • Создать...