Перейти к содержанию

Внимание! Все важные файлы на всех дисках вашего копьютера были зашифрованы!

Oksanask
 Поделиться

Рекомендуемые сообщения

Oksanask Новичок

Oksanask

Опубликовано
Опубликовано

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
EA5B5BD3F9C7DE8DED7D|0
на электронный адрес decodefiles1@gmail.com или decodefiles@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
EA5B5BD3F9C7DE8DED7D|0
to e-mail address decodefiles1@gmail.com or decodefiles@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

ПОМОГИТЕ ПОЖАЛУЙСТА

Ссылка на комментарий
Поделиться на другие сайты
Oksanask Новичок

Oksanask

Опубликовано
  • Автор
Опубликовано

вот что у меня получилось

Правила, которые нужно выполнить, чтобы консультанты могли вам помочь. Добавьте нужные файлы к следующему сообщению.

 

CollectionLog-2015.05.08-16.12.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\suptab\windowssupportdll32.dll','');
 QuarantineFile('C:\Program Files\suptab\suptab.dll','');
 QuarantineFile('C:\Program Files\suptab\search~2.dll','');
 QuarantineFile('C:\Program Files\suptab\search~1.dll','');
 QuarantineFile('C:\Program Files\suptab\loader64.exe','');
 QuarantineFile('C:\Program Files\suptab\loader32.exe','');
 QuarantineFile('C:\Program Files\suptab\hpui.exe','');
 QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\new game\new_game_notification_service.exe','');
 QuarantineFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe','');
 QuarantineFile('C:\Program Files\HDQ-V2.3V16.11\86df5d51-c445-4340-9a94-3f46d063a66a.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\Vkmusicdownloader.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Panel\KometaLaunchPanel.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Application\kometa.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\wYsyV\yKAq.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.arepo.bat','');
 DeleteService('iSafeNetFilter');
 DeleteFile('C:\Program Files\iSafe\iSafeNetFilter.sys','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.arepo.bat','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.xoferif.bat','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\wYsyV\yKAq.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\yAi','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Amigo\Application\amigo.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_44BC0CBBA3CA618ABBF8EFAE96F4BF0B','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa\Panel\KometaLaunchPanel.exe','32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Windows\Vkmusicdownloader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Vkmusicdownloader','command');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dylmyrkzhh','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ojsbmbnqds','command');
 DeleteFile('C:\windows\Tasks\86df5d51-c445-4340-9a94-3f46d063a66a.job','32');
 DeleteFile('C:\Program Files\HDQ-V2.3V16.11\86df5d51-c445-4340-9a94-3f46d063a66a.exe','32');
 DeleteFile('C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe','32');
 DeleteFile('C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\windows\Tasks\new_game_notification_service.job','32');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\new game\new_game_notification_service.exe','32');
 DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
 DeleteFile('C:\Program Files\suptab\hpui.exe','32');
 DeleteFile('C:\Program Files\suptab\loader32.exe','32');
 DeleteFile('C:\Program Files\suptab\loader64.exe','32');
 DeleteFile('C:\Program Files\suptab\search~1.dll','32');
 DeleteFile('C:\Program Files\suptab\search~2.dll','32');
 DeleteFile('C:\Program Files\suptab\suptab.dll','32');
 DeleteFile('C:\Program Files\suptab\windowssupportdll32.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
 

Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
 
move.gif
 
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
Сделайте новые логи по правилам
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.


 


 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:



GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

CHR HKU\S-1-5-21-861567501-1229272821-1801674531-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION





HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX&q={searchTerms}

HKU\S-1-5-21-861567501-1229272821-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.mail.ru/?ieverfix=1&fr=ieverfix_sg

HKU\S-1-5-21-861567501-1229272821-1801674531-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX

SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX&q={searchTerms}

SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX&q={searchTerms}

SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {058C66B2-4CB7-4EFD-BC18-D2ACA9E04F73} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {77F2B683-BFE4-4140-A5D5-3004C16E3A8F},Codepage,0x10001,e3,04,00,00 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {95F663C0-C370-4955-8B39-63069DB1F6C0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {B2A025AA-2242-4E2F-8FC6-6DC64A736A80} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {FA6CC280-3AEA-4DC3-9C5B-9B729779EC31} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

BHO: MadLen.uCoz.coM Toolbar -> {8dec4b69-27c4-405d-a37d-8d45c83f66ab} ->  No File

BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File

Toolbar: HKU\S-1-5-21-861567501-1229272821-1801674531-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File



StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?type=sc&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX



FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-11-16] (globalUpdate)

FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-11-16] (globalUpdate)



FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\delta-homes.xml [2015-05-05]

FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\meta-ua.xml [2014-07-23]

FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\metamarket.xml [2014-07-23]

FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\mystartsearch.xml [2014-11-16]



FF Extension: Vkmusicdownloader - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\620t42r7.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24782}.xpi [2015-03-14]



FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Documents and Settings\Admin\Application Data\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack

FF Extension: SuperMegaBest.com - C:\Documents and Settings\Admin\Application Data\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2014-11-16]

FF HKLM\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\620t42r7.default\extensions\quick_searchff@gmail.com





FF ExtraCheck: C:\Program Files\mozilla firefox\browser\defaults\preferences\my-prefs.js [2015-03-25] <==== ATTENTION (Points to *.cfg file)

FF ExtraCheck: C:\Program Files\mozilla firefox\my.cfg [2015-03-25] <==== ATTENTION



CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-05]

CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kneggodalbcmgdkkfhbhbicbbahnacjb [2015-04-27]

CHR Extension: (HDQ-V2.3V16.11) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\plimopelmdneikoknbgpopffpbmlhgpa [2015-04-13]



CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://tninewy.ru/index.xml

CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]

CHR HKU\S-1-5-21-861567501-1229272821-1801674531-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://tninewy.ru/index.xml

StartMenuInternet: chrome.exe - c:\program files\google\chrome\application\chrome.exe http://www.delta-homes.com/?type=sc&ts=1430818238&from=wpm05053&uid=FUJITSUXMHW2160BHXPL_K116T7826F2NT7826F2NX



2015-05-09 11:44 - 2015-04-15 13:24 - 00001045 ____S () C:\Documents and Settings\Admin\Мои документы\oреra.ехе.lnk

2015-05-05 12:59 - 2015-05-07 16:08 - 00000000 __SHD () C:\Documents and Settings\All Users\Application Data\Windows





2015-05-05 12:31 - 2015-05-07 16:08 - 00000000 ____D () C:\Program Files\XTab

2015-05-05 12:31 - 2015-05-05 12:31 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\IHProtectUpDate

2015-04-29 22:11 - 2015-04-29 22:11 - 00001270 _____ () C:\Documents and Settings\Admin\Рабочий стол\Поиcк в Интeрнете.lnk



2015-04-15 13:24 - 2015-05-09 11:16 - 00000000 ____D () C:\Documents and Settings\Admin\Application Data\Browsers

2015-04-15 13:24 - 2015-04-15 13:24 - 00001075 ____S () C:\Documents and Settings\All Users\Главное меню\Программы\Мozilla Firеfoх.lnk

2015-04-15 13:24 - 2015-04-15 13:24 - 00001068 ____S () C:\Documents and Settings\Admin\Главное меню\Программы\Intеrnеt Ехрlorеr.lnk

2015-04-15 13:24 - 2015-04-15 13:24 - 00001045 ____S () C:\Documents and Settings\Admin\Рабочий стол\oреra.ехе.lnk



2015-05-09 11:16 - 2014-11-16 12:59 - 00000000 ____D () C:\Program Files\SupTab

2015-05-08 15:23 - 2014-11-16 12:59 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect







2015-05-08 00:12 - 2014-12-12 16:35 - 00000860 __RSH () C:\Documents and Settings\All Users\ntuser.pol

2015-05-07 16:12 - 2015-03-14 22:42 - 00000000 ____D () C:\Documents and Settings\Admin\Local Settings\Application Data\Kometa

2015-05-07 16:08 - 2014-11-16 13:00 - 00000000 ____D () C:\Program Files\HDQ-V2.3V16.11





C:\Documents and Settings\Admin\Local Settings\Temp\J6gdkFm6KWLU.exe

C:\Documents and Settings\Admin\Local Settings\Temp\mailruhomesearchvbm.exe

C:\Documents and Settings\Admin\Local Settings\Temp\pPwFOgCA71w1.exe

C:\Documents and Settings\Admin\Local Settings\Temp\uttAB.tmp.exe

C:\Documents and Settings\Admin\Local Settings\Temp\uttDB.tmp.exe

C:\Documents and Settings\Admin\Local Settings\Temp\vGUL3X5SvwB4.exe

C:\Documents and Settings\Admin\Local Settings\Temp\yupdate-exec-yabrowser.exe

C:\Documents and Settings\Admin\Local Settings\Temp\Z6hZdihy7BFN.exe

C:\Documents and Settings\ROMAN\Local Settings\Temp\avguidx.dll

C:\Documents and Settings\ROMAN\Local Settings\Temp\bstrapInstall.exe

C:\Documents and Settings\ROMAN\Local Settings\Temp\CommonInstaller.exe

C:\Documents and Settings\ROMAN\Local Settings\Temp\contentDATs.exe

C:\Documents and Settings\ROMAN\Local Settings\Temp\MachineIdCreator.exe

C:\Documents and Settings\ROMAN\Local Settings\Temp\nsg1337.tmp.exe

C:\Documents and Settings\ROMAN\Local Settings\Temp\tbAsha.dll

C:\Documents and Settings\ROMAN\Local Settings\Temp\tbedrs.dll

C:\Documents and Settings\ROMAN\Local Settings\Temp\ToolbarInstaller.exe

C:\Documents and Settings\ROMAN\Local Settings\Temp\Uninstall.exe

C:\Documents and Settings\ROMAN\Local Settings\Temp\utt13A1.tmp.exe







AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:3ED99525

AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:4D348522

AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:7EF55396

AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D6255023

AlternateDataStreams: C:\Documents and Settings\ROMAN\Local Settings\Application Data:wa



Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • F_Aliaksei
      Зашифрованы копьютеры и сервера в домене
      Автор F_Aliaksei
      Добрый день. Зашифрованы компьютеры и сервера в домене.
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE*KOZANOSTRA-HUQ7OPKpvUiVOz-fEMJo4L9kGcByDd1JvpaG1EG6QgE
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt Остатки МЦ Фомин.xls.rar СЧЕТ 10 ДЛЯ СПИСАНИЯ_ИТ.xls.rar
    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
×
×
  • Создать...