orenren Опубликовано 13 июля, 2015 Опубликовано 13 июля, 2015 Help! 10,07,15г вечером вирус поймал, и все картинки и видео зашифровалось, на диске появился файл в нем написано: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1279286CB783CF32410A|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Файл приложил. CollectionLog-2015.07.11-22.30.zip
thyrex Опубликовано 13 июля, 2015 Опубликовано 13 июля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
orenren Опубликовано 13 июля, 2015 Автор Опубликовано 13 июля, 2015 (изменено) Прикрепил файл FRST.txt И Addition.txt FRST.txt Addition.txt Изменено 13 июля, 2015 пользователем orenren
thyrex Опубликовано 13 июля, 2015 Опубликовано 13 июля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1614608372-4077333667-2407050018-1000 -> No Name - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No File Toolbar: HKU\S-1-5-21-1614608372-4077333667-2407050018-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Extension: DealPly Shopping - C:\Users\Satellite\AppData\Roaming\Mozilla\Firefox\Profiles\zzyujjn0.default\Extensions\amo@dealplyshopping.com [2013-04-28] CHR HKLM\...\Chrome\Extension: [fmfnfnpmhcllokmkepffndflpnadjmma] - C:\Program Files\DealPly\DealPly.crx [2013-04-28] 2015-07-10 23:03 - 2015-07-10 23:03 - 03148854 _____ C:\Users\Satellite\AppData\Roaming\1144845011448450.bmp 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README9.txt 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README8.txt 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README7.txt 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README6.txt 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README5.txt 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README4.txt 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README3.txt 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README2.txt 2015-07-10 22:18 - 2015-07-10 22:18 - 00000893 _____ C:\README10.txt 2015-07-10 22:17 - 2015-07-10 22:17 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-07-10 22:17 - 2015-07-10 22:17 - 00000000 __SHD C:\ProgramData\Windows CustomCLSID: HKU\S-1-5-21-1614608372-4077333667-2407050018-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Satellite\AppData\Local\Google\Update\1.3.25.5\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1614608372-4077333667-2407050018-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Satellite\AppData\Local\Google\Update\1.3.24.15\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1614608372-4077333667-2407050018-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Satellite\AppData\Local\Google\Update\1.3.22.3\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1614608372-4077333667-2407050018-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Satellite\AppData\Local\Google\Update\1.3.26.9\psuser.dll No File CustomCLSID: HKU\S-1-5-21-1614608372-4077333667-2407050018-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Satellite\AppData\Local\Google\Update\1.3.25.11\psuser.dll No File Task: {150384E8-60FA-4A85-A54F-337A67CCB3DC} - System32\Tasks\DealPlyUpdate => C:\Program <==== ATTENTION Task: {9A44BA68-AFAC-4C7A-8340-BD7DCEF5BDC9} - System32\Tasks\DealPly => C:\Users\Satellite\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-02-27] () <==== ATTENTION C:\Users\Satellite\AppData\Roaming\DealPly AlternateDataStreams: C:\ProgramData\TEMP:07BF512B AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
orenren Опубликовано 15 июля, 2015 Автор Опубликовано 15 июля, 2015 С расшифровкой не поможем пока нет таблетки, а когда будет? как скопировать чтобы оставить архивы до лучших времен? где мои фотки и видео только каталоги скачать или делать образ?
thyrex Опубликовано 15 июля, 2015 Опубликовано 15 июля, 2015 RSA-шифрование. Почитайте и сами все поймете
orenren Опубликовано 25 июля, 2015 Автор Опубликовано 25 июля, 2015 Обнаружил на компе файл cached-microdescs в нем много таких кодов: @last-listed 2015-07-10 19:17:52 onion-key -----BEGIN RSA PUBLIC KEY----- MIGJAoGBAOQk+3V6NK+nJYpeXnymoGQFF7zqwGmUk01GoppLIFEVmLMG0welxIez +mHobYzcarAWhN7q4wc30FyeN0nd5l9v8Rkahl+7y80dt6s+DjQU+u2Nx8Io+yN0 sDs0JpbS1Na7hseuL5PXPZHiq/JFJbguW6Wsu4pLWF5g7guo6TEFAgMBAAE= -----END RSA PUBLIC KEY----- что это?
thyrex Опубликовано 25 июля, 2015 Опубликовано 25 июля, 2015 Открытые ключи RSA. Расшифровке не помогут
orenren Опубликовано 25 июля, 2015 Автор Опубликовано 25 июля, 2015 (изменено) понятно Изменено 25 июля, 2015 пользователем orenren
orenren Опубликовано 16 января, 2017 Автор Опубликовано 16 января, 2017 этот файл о чем то говорит? может здесь хранятся ключи расшифровки. $RKNQHF8.txt
mike 1 Опубликовано 16 января, 2017 Опубликовано 16 января, 2017 Пришлите зашифрованный файл в архиве.
orenren Опубликовано 16 января, 2017 Автор Опубликовано 16 января, 2017 файл во вложении еще есть файлик кому вирусы рассылались и много разных текстовых с какими то кодами +NeujfZ-jV-UpmBqjUkgC6BcBtLbAvoA6mDyAFH4UvE=.1279286CB783CF32410A.rar 777.rar
mike 1 Опубликовано 17 января, 2017 Опубликовано 17 января, 2017 Пробуйте http://support.kaspersky.ru/13059#block1, должен помочь.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти