pokrac Опубликовано 10 ноября, 2024 Опубликовано 10 ноября, 2024 Давал ребенкоу поиграть в компьютер, что то скачивал, по итогу ночью открываю компьютер, а у меня все файлы с префиксом Lock. ничего не открывается, ну и смена обоев, с тг аккаунтом для решения вопроса
kmscom Опубликовано 10 ноября, 2024 Опубликовано 10 ноября, 2024 внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи». новую тему создавать не надо, продолжайте в этой. вложите в сообщение файл протоколов (логов) - CollectionLog-yyyy.mm.dd-hh.mm.zip
pokrac Опубликовано 10 ноября, 2024 Автор Опубликовано 10 ноября, 2024 CollectionLog-2024.11.10-22.26.zip
thyrex Опубликовано 10 ноября, 2024 Опубликовано 10 ноября, 2024 Тут скорее шифрование файлов произошло. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
pokrac Опубликовано 10 ноября, 2024 Автор Опубликовано 10 ноября, 2024 6 минут назад, thyrex сказал: Тут скорее шифрование файлов произошло. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. пиво.rar
thyrex Опубликовано 10 ноября, 2024 Опубликовано 10 ноября, 2024 C:\Users\armen\OneDrive\Рабочий стол\Lock.типовой договор.pdf и картинку обоев прикрепите в архиве к следующему сообщению.
pokrac Опубликовано 10 ноября, 2024 Автор Опубликовано 10 ноября, 2024 1 час назад, thyrex сказал: C:\Users\armen\OneDrive\Рабочий стол\Lock.типовой договор.pdf и картинку обоев прикрепите в архиве к следующему сообщению. Lock.типовой договор.pdf
pokrac Опубликовано 11 ноября, 2024 Автор Опубликовано 11 ноября, 2024 12 часов назад, thyrex сказал: C:\Users\armen\OneDrive\Рабочий стол\Lock.типовой договор.pdf и картинку обоев прикрепите в архиве к следующему сообщению. Если есть какой то способ скинуть файл фотку которая на рабочем то честно не знаю как такое сделать
safety Опубликовано 11 ноября, 2024 Опубликовано 11 ноября, 2024 Возможно, что файлы зашифрованы этим: https://id-ransomware.malwarehunterteam.com/identify.php?case=177f51f0ab82f820992e68f3569bf9aa34fb715a возможно стоит попробовать проверить, хотя судя по статье шифровальщик старого типа. https://www.bleepingcomputer.com/forums/t/618457/microcop-ransomware-help-support-lock-mircop/
safety Опубликовано 11 ноября, 2024 Опубликовано 11 ноября, 2024 (изменено) да, файл может быть расшифрован. Проверьте ЛС. Пришлите еще несколько файлов Lock.* для проверки расшифровки. + этот файл 2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe ---------- если антивирусами сканировали систему, добавьте, пожалуйста, логи сканирования в архиве без пароля Изменено 11 ноября, 2024 пользователем safety
pokrac Опубликовано 11 ноября, 2024 Автор Опубликовано 11 ноября, 2024 3 часа назад, safety сказал: да, файл может быть расшифрован. Проверьте ЛС. Пришлите еще несколько файлов Lock.* для проверки расшифровки. + этот файл 2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe ---------- если антивирусами сканировали систему, добавьте, пожалуйста, логи сканирования в архиве без пароля Lock.Асимметричное шифрование.docx Lock.скоб2.xls miniagent.log 1 минуту назад, pokrac сказал: Lock.скоб2.xls 64 kB · 0 загрузок miniagent.log 118 kB · 0 загрузок логи.zip Вот еще логи, извиняюсь что не разом архивом, забыл 2 минуты назад, pokrac сказал: Lock.скоб2.xls miniagent.log Вот еще логи, извиняюсь что не разом архивом, забыл локсвхост.zipИ сам свхост
pokrac Опубликовано 11 ноября, 2024 Автор Опубликовано 11 ноября, 2024 1 минуту назад, safety сказал: Хорошо, отвечу немного позже Хорошо, спасибо
safety Опубликовано 11 ноября, 2024 Опубликовано 11 ноября, 2024 По очистке системы в FRST Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AlternateDataStreams: C:\ProgramData:err [1950] AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882] AlternateDataStreams: C:\Users\All Users:err [1950] AlternateDataStreams: C:\Users\Все пользователи:err [1950] AlternateDataStreams: C:\ProgramData\Application Data:err [1950] AlternateDataStreams: C:\Users\armen\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\armen\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3978] 2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe 2024-11-07 16:27 - 2024-11-08 20:27 - 000000000 ____D C:\SolaraTab Startup: C:\Users\armen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk [2024-11-10] ShortcutTarget: svchost.lnk -> C:\Users\armen\AppData\Local\svchost.exe (Нет файла) GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ 2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение
pokrac Опубликовано 11 ноября, 2024 Автор Опубликовано 11 ноября, 2024 4 минуты назад, safety сказал: По очистке системы в FRST Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: AlternateDataStreams: C:\ProgramData:err [1950] AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882] AlternateDataStreams: C:\Users\All Users:err [1950] AlternateDataStreams: C:\Users\Все пользователи:err [1950] AlternateDataStreams: C:\ProgramData\Application Data:err [1950] AlternateDataStreams: C:\Users\armen\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\armen\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3978] 2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe 2024-11-07 16:27 - 2024-11-08 20:27 - 000000000 ____D C:\SolaraTab Startup: C:\Users\armen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\svchost.lnk [2024-11-10] ShortcutTarget: svchost.lnk -> C:\Users\armen\AppData\Local\svchost.exe (Нет файла) GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ 2024-11-08 20:29 - 2024-11-08 20:29 - 000077320 _____ () C:\Users\armen\AppData\Local\Lock.svchost.exe End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Fixlog.txt
Рекомендуемые сообщения