Перейти к содержанию
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

зашифрованы xtbl

sm3r4
 Поделиться

Рекомендуемые сообщения

mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
C:\Program Files (x86)\Mobogenie
SearchScopes: HKU\S-1-5-21-792549786-2833507299-2948091167-1001 -> 64C57E5399DE01391848E07B8ED74804 URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=HGSTXHTS541010A9E680_J510007108YG2B08YG2BX&ts=1433945284&type=default&q={searchTerms}
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKU\S-1-5-21-792549786-2833507299-2948091167-1001 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-06-11]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-06-11]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-06-11]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-07-01]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-06-11]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-06-11]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-06-11]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2015-06-11]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilamgbdaebkbpkkmfmmfbnaamkhijdek [2015-06-15]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-13]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-10-07]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\ofdgafmdegfkhfdfkmllfefmcmcjllec [2015-06-15]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-06-11]
CHR Extension: (No Name) - C:\Users\Вадим\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2015-06-15]
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Вадим\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
2015-06-28 07:05 - 2015-06-28 07:05 - 03148854 _____ C:\Users\Вадим\AppData\Roaming\769CF455769CF455.bmp
2015-06-23 19:48 - 2015-07-01 03:09 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-23 19:48 - 2015-07-01 03:09 - 00000000 __SHD C:\ProgramData\Windows
2015-06-10 21:58 - 2015-06-10 21:58 - 00000000 ____D C:\Program Files (x86)\predm
2015-06-10 19:07 - 2015-06-28 07:02 - 00000000 ____D C:\Users\Все пользователи\MailUpdate
2015-06-10 19:07 - 2015-06-28 07:02 - 00000000 ____D C:\ProgramData\MailUpdate
2015-06-10 19:07 - 2015-06-10 19:07 - 00000000 ____D C:\Users\Вадим\AppData\Roaming\MailUpdate
2015-06-10 17:16 - 2015-07-01 22:49 - 00000000 __SHD C:\Users\Вадим\AppData\Local\EmieBrowserModeList
2015-06-10 17:15 - 2015-07-07 20:34 - 00000000 ____D C:\Program Files (x86)\b01b85c9-73b3-4bae-aa39-b2f2a8acc552
2015-06-10 17:13 - 2015-07-07 20:34 - 00000000 ____D C:\Program Files (x86)\globalUpdate
2015-06-10 17:13 - 2015-06-10 17:13 - 00000000 ____D C:\Users\Вадим\AppData\Local\globalUpdate
2015-06-10 12:47 - 2013-08-22 18:25 - 00000824 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2015-06-10 12:46 - 2015-06-21 23:13 - 00000000 ____D C:\Users\Вадим\AppData\Local\Kometa
2012-11-24 06:25 - 2012-09-07 16:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2012-11-24 06:25 - 2009-07-22 15:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2012-11-24 06:25 - 2012-09-07 16:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Task: {1D09875A-DB00-4CF7-9442-6CA3AE7D7F3B} - System32\Tasks\DTReg => C:\Users\Вадим\AppData\Roaming\defaulttab\defaulttab\DTReg.exe <==== ATTENTION
C:\Users\Вадим\AppData\Roaming\defaulttab
Task: {465B4E15-E6EF-4F13-AF92-ABD43825A652} - \{DE5BE4DC-A4D4-496C-839B-704ECC83806F} No Task File <==== ATTENTION
Task: {5804A258-5414-457E-AA87-4D284AD165F1} - \{9B199DA1-3C35-47AD-9138-EDD329D4C362} No Task File <==== ATTENTION
Task: {847624F6-BDE7-402A-8400-2079295A646F} - \LaunchSignup No Task File <==== ATTENTION
Task: {DD4033F2-126D-4067-B630-70C128672AFB} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Логи в порядке.

 

По расшифровке:

 

При наличии коммерческой лицензии на любой из продуктов Антивируса Касперского обратитесь за помощью в техническую поддержку Лаборатории Касперского через личный кабинет.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • BeckOs
      Зашифрованы все файлы
      Автор BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • paradox197755
      Зашифрованы диски на сервере.
      Автор paradox197755
      Зашифрованы диски на сервере.

    • KasatkinMihail
      Зашифровали рабочий сервер
      Автор KasatkinMihail
      Доброго всем дня, в нерабочий день путем взлома RDP зашифровали сервер, поиск подобных случаев не дал результат, на письма по адресам в письме не отвечаю на вопрос сколько денег просят.
       
      ШИФР.rar Logs.rar
    • ngor
      Зашифровались базы1С и не только
      Автор ngor
      Добрый день можете проверить пожалуйста у нас он повредил все быза(((
      Файлы.rar
×
×
  • Создать...