Перейти к содержанию

Зашифровали файлы, xtbl


Рекомендуемые сообщения

Добрый день!

Файлы были зашифрованы. На рабочем столе заставка с надписью "Все важные файлы на всех дисках вашего компьютера были зашифрованы"

Файл Readme:

"Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
FAA515DB748675825697|0
на электронный адрес decode010@gmail.com или decode1110@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
Помогите пожалуйста!

CollectionLog-2015.07.03-22.03.zip

Ссылка на комментарий
Поделиться на другие сайты

Baidu сами ставили или нет?

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('C:\Users\Компьютер\AppData\Local\Temp\98F47F0-2BD1652-C6236C1C-60C826C2\xOd79FPcwrbq.exe');
 TerminateProcessByName('c:\users\Компьютер\downloads\tm5t0b8r.exe');
 TerminateProcessByName('c:\users\Компьютер\appdata\local\temp\temp54169652.exe');
 TerminateProcessByName('c:\users\Компьютер\appdata\roaming\ssleas.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\users\Компьютер\appdata\roaming\cppredistx86.exe');
 TerminateProcessByName('c:\users\компьютер\appdata\local\temp\98f47f0-2bd1652-c6236c1c-60c826c2\amqomabpuxx.exe');
 QuarantineFile('C:\Users\Компьютер\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','');
 QuarantineFile('C:\Users\Компьютер\AppData\Roaming\mystartsearch\UninstallManager.exe','');
 QuarantineFile('C:\Users\Компьютер\AppData\Local\SystemDir\nethost.exe','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Users\Компьютер\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.pif','');
 QuarantineFile('C:\Users\4D2B~1\AppData\Local\Temp\temp54169652.exe','');
 QuarantineFile('C:\Users\4D2B~1\AppData\Local\Temp\2262E9493.sys','');
 QuarantineFile('c:\users\компьютер\appdata\local\temp\98F47F0-2BD1652-C6236C1C-60C826C2\1ece5250e.sys','');
 QuarantineFile('C:\Users\Компьютер\AppData\Local\Temp\98F47F0-2BD1652-C6236C1C-60C826C2\xOd79FPcwrbq.exe','');
 QuarantineFile('c:\users\Компьютер\downloads\tm5t0b8r.exe','');
 QuarantineFile('c:\users\Компьютер\appdata\local\temp\temp54169652.exe','');
 QuarantineFile('c:\users\Компьютер\appdata\roaming\ssleas.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\users\Компьютер\appdata\roaming\cppredistx86.exe','');
 QuarantineFile('c:\users\компьютер\appdata\local\temp\98f47f0-2bd1652-c6236c1c-60c826c2\amqomabpuxx.exe','');
 DeleteFile('c:\users\компьютер\appdata\local\temp\98f47f0-2bd1652-c6236c1c-60c826c2\amqomabpuxx.exe','32');
 DeleteFile('c:\users\Компьютер\downloads\tm5t0b8r.exe','32');
 DeleteFile('C:\Users\Компьютер\AppData\Local\Temp\98F47F0-2BD1652-C6236C1C-60C826C2\xOd79FPcwrbq.exe','32');
 DeleteFile('c:\users\компьютер\appdata\local\temp\98F47F0-2BD1652-C6236C1C-60C826C2\1ece5250e.sys','32');
 DeleteFile('C:\Users\4D2B~1\AppData\Local\Temp\2262E9493.sys','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\4D2B~1\AppData\Local\Temp\temp54169652.exe','32');
 DeleteFile('C:\Users\Компьютер\AppData\Local\Temp\temp54169652.exe','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
 DeleteFile('C:\Windows\system32\Tasks\{85F2C585-3D18-47E6-935B-E8ED4E6412C5}','64');
 DeleteFile('C:\Users\Компьютер\AppData\Roaming\mystartsearch\UninstallManager.exe','32');
 DeleteFile('C:\Users\Компьютер\appdata\local\systemdir\nethost.exe','32');
 DeleteFile('C:\Users\Компьютер\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('C:\Users\Компьютер\appdata\roaming\microsoft\windows\start menu\programs\startup\system.pif','32');
 DeleteFile('C:\Users\Компьютер\appdata\roaming\ssleas.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ndysckkeow');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportChecker');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TimeNotifyer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://nqaqeba.ru/?utm_source=startpage03&utm_content=c08d131bc9bf107f5cf4658225c11c43
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}

R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file)
O4 - HKCU\..\Run: [ndysckkeow] explorer "http://nqaqeba.ru/?utm_source=uoua03&utm_content=f8ca5e5243607ca28d083ee858c11fa5"
O4 - HKCU\..\Run: [Microsoft Visual C++ 2010] C:\Users\Компьютер\AppData\Roaming\cppredistx86.exe
O4 - HKCU\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"
O4 - HKCU\..\Run: [CrashReportChecker] C:\Users\4D2B~1\AppData\Local\Temp\temp54169652.exe
O4 - HKCU\..\Run: [TimeNotifyer] C:\Users\Компьютер\AppData\Local\Temp\temp54169652.exe
O4 - Startup: system.pif = ?


 
Сделайте новые логи по правилам (только пункт 2).
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Baidu установился сам и удалить его долго не удавалось, сколько не было приложено попыток.
 
Ответ с портала: 
"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

csrss.exe - Trojan.Win32.Fsysna.ccuv
temp54169652.exe - Backdoor.Win32.Hlux.fboj

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского"

CollectionLog-2015.07.04-10.08.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
 

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
IFEO\icq.exe: [Debugger] "I:\Катя\Программы\TuneUp Utilities 2012\TUAutoReactivator64.exe"
IFEO\icqsetup.exe: [Debugger] "I:\Катя\Программы\TuneUp Utilities 2012\TUAutoReactivator64.exe"
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-464310558-1883164347-3381844094-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1417353754&from=amt&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=50d030aa9f50c5c5c7e35a04536515d5&text={searchTerms}
SearchScopes: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=50d030aa9f50c5c5c7e35a04536515d5&text=
SearchScopes: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F&q={searchTerms}
SearchScopes: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> {8D5F0C1D-C9B2-49D0-A15C-60414B9D6E02} URL = http://www.search.ask.com/web?tpid=ORJ-SPE&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^UA&gct=sb&itbv=12.21.0.114&apn_uid=C3D080A4-78A1-48C4-8E7E-D802B94DE5FC&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^UA&apn_dbr=ie&doi=2014-12-05&trgb=IE&q={searchTerms}&psv=&pt=tb
Toolbar: HKU\S-1-5-21-464310558-1883164347-3381844094-1000 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe http://www.delta-homes.com/?type=sc&ts=1431067655&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=wpm05083&uid=395049983_397233_888B2C3F
R2 BDSGRTP; C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\BaiduProtect.exe [1931880 2014-11-24] (????????????????)
S2 BDKVRTP; "C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\baidusdSvc.exe" -r [X]
S2 BDMRTP; "C:\Program Files (x86)\BaiduAn3.0\BaiduAn\3.0.0.3971\BaiduAnSvc.exe" -r [X]
R1 bd0001; C:\Windows\System32\DRIVERS\bd0001.sys [202576 2014-12-22] (Baidu)
R1 bd0001; C:\Windows\SysWOW64\DRIVERS\bd0001.sys [202576 2014-12-22] (Baidu)
S1 bd0002; C:\Windows\SysWOW64\DRIVERS\bd0002.sys [196936 2014-12-22] (Baidu)
R1 bd0004; C:\Windows\System32\DRIVERS\bd0004.sys [169288 2014-11-24] (Baidu)
R2 BDArKit; C:\Windows\System32\DRIVERS\BDArKit.sys [152392 2014-12-28] (Baidu Technology)
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [130888 2014-12-23] (Baidu)
S2 BDMNetMon; system32\DRIVERS\BDMNetMon.sys [X]
S1 BDMWrench_x64; system32\DRIVERS\BDMWrench_x64.sys [X]
S1 BDSafeBrowser; system32\drivers\BDSafeBrowser.sys [X]
2015-07-04 10:59 - 2014-11-17 07:15 - 00041800 _____ (Baidu) C:\Windows\system32\bd64_x64.dll
2015-07-04 10:59 - 2014-11-17 07:15 - 00039056 _____ (Baidu) C:\Windows\system32\bd64_x86.dll
2015-07-03 22:25 - 2015-07-03 22:25 - 00000000 ____D C:\Device
2015-07-03 21:57 - 2015-07-03 21:57 - 03932214 _____ C:\Users\Компьютер\AppData\Roaming\D2B2581DD2B2581D.bmp
2015-07-03 21:48 - 2015-07-04 10:08 - 00000000 ____D C:\Users\Компьютер\Downloads\AutoLogger
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README9.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README8.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README7.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README6.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README5.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README4.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README3.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README2.txt
2015-07-03 21:47 - 2015-07-03 21:47 - 00000893 _____ C:\Users\Компьютер\Desktop\README10.txt
2015-07-03 19:44 - 2015-07-04 09:19 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-03 19:44 - 2015-07-04 09:19 - 00000000 __SHD C:\ProgramData\Windows
2015-07-03 19:38 - 2015-07-03 19:38 - 00371216 _____ C:\Users\Компьютер\AppData\Roaming\data13.dat
2015-07-03 19:38 - 2015-07-03 19:38 - 00371200 _____ C:\Users\Компьютер\AppData\Roaming\ssleas.exe
2015-07-03 12:17 - 2014-07-07 02:15 - 00382464 ____N C:\Users\Компьютер\AppData\Roaming\cppredistx86.exe
2015-06-30 18:39 - 2015-07-03 22:25 - 00000000 ____D C:\Users\Компьютер\AppData\Local\SystemDir
FirewallRules: [{5168D002-4C30-4F11-8886-ADB975A5D56D}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{71832142-ED8D-4045-826E-E5191A404360}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{0A5930DE-13E3-4F0C-8CE0-A40916F54A37}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{5D3805AA-EE2E-4D5E-8C63-4D5FA2636895}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{341D8A55-09F4-43DA-BCC7-C0DB3CCE2718}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{E167CE89-7D87-4B17-8C8C-21DFF808B459}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{45530E3D-98C1-420C-854F-E8B8DFB9862A}] => (Allow) C:\Program Files (x86)\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{E2831DC2-0A65-4292-89C4-BB2D4CDE0026}] => (Allow) C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
FirewallRules: [{9C7317D7-E0D8-4E00-8ED0-407F3AF07B95}] => (Allow) C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
FirewallRules: [{0FEAFA2D-9A9D-4C0E-B8BC-ECC2A2E84E76}] => (Allow) C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
FirewallRules: [{5F155920-0DD7-4680-B601-8E9112D29DC8}] => (Allow) C:\Program Files (x86)\BaiduSd2.1\BaiduSd\2.1.0.3086\BaiduSdUProxy64.exe
FirewallRules: [{569423B7-95B7-4A1B-AB0B-D68ADF8C7A52}] => (Allow) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe
FirewallRules: [{8D5E61DE-A77A-440B-8807-18D030271144}] => (Allow) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe
FirewallRules: [{0642191D-392A-45BE-94F5-7102DD7EC91B}] => (Allow) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe
FirewallRules: [{BF5D0AED-3CD7-41CC-A4E6-0C9A8D9578B2}] => (Allow) C:\Program Files (x86)\BaiduSd3.0\BaiduSd\3.0.0.4605\BaiduSdUProxy64.exe
FirewallRules: [{E07DCD52-A9E1-4377-A580-5EF5168BCE5E}] => (Allow) C:\Program Files (x86)\Media Saver\Basement\MSLServer.exe
2014-11-24 15:54 - 2014-11-17 07:15 - 00444744 _____ () C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.619\bdsg0002.dll
Task: {77D72AD7-3871-4A36-888F-3210D329590E} - \{85F2C585-3D18-47E6-935B-E8ED4E6412C5} No Task File <==== ATTENTION
Task: {2436A221-5516-49B0-A944-157825665D63} - \nethost task No Task File <==== ATTENTION
C:\Program Files (x86)\Common Files\Baidu
C:\Program Files (x86)\BaiduSd2.1
C:\Program Files (x86)\BaiduSd3.0
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

     

     

  • Обратите внимание, что компьютер будет перезагружен.

     

     

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой не поможем

Как тогда быть? Теневых копий нет, но может еще есть способы? 

 

С расшифровкой не поможем

Как тогда быть? Теневых копий нет, но может еще есть способы? 

 

Еще вопрос: это все? То есть, на данный момент компьютер чист? 

Ссылка на комментарий
Поделиться на другие сайты

Мусор почистили

 

С расшифровкой помогут только злодеи

Не знаю даже как благодарить! За проделанную Вами работу просто огромнейшие спасибо! 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...