Перейти к содержанию

Рекомендуемые сообщения

Знакомой пришло письмо со ссылко на какие-то документы. Она перешла по ссылке и все документы, фотографии, картинки, данные и так далее переименовались в следующее:

email-iizomer@aol.com.ver-CL 1.0.0.0.id* и много разных буковок и цифр. Есть ли способ дешифровать? или хотябы точно узнать что его на компьютере не осталось?

CollectionLog-2015.07.15-11.05.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\Program Files\simpleinf.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pr','command');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-codedownloader.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-enabler.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-firefoxinstaller.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-updater.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-validator.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Да, менее часа - и вся информация зашифрована.

 

Ссылка, по которой скачали шифратор, сохранилась?

 

Содержимое папки C:\Program Files\Сжатие больших архивов заархивируйте с паролем virus, выложите на rghost.ru и пришлите ссылку мне в личные сообщения

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=114&itype=a&ver=12692&tm=291&src=ds&p={searchTerms}
SearchScopes: HKU\S-1-5-21-329068152-706699826-682003330-500 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=PTV2&o=15851&src=crm&q={searchTerms}&locale=ru_RU&apn_ptnrs=H3&apn_dtid=YYYYYYYYRU&apn_uid=67B1AED8-9E7F-4081-9B35-52A7D18A0494&apn_sauid=D4917007-A4CC-499A-B9EF-54410E9DB0F0
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2015-07-14 09:47 - 2015-07-14 10:41 - 00000079 _____ C:\Program Files\WFQQRXFAWV.DVZ
2015-07-14 09:47 - 2015-07-14 10:36 - 30222356 _____ C:\Program Files\log1.log
2015-07-14 09:46 - 2015-07-14 09:46 - 00000000 ____D C:\Program Files\Сжатие больших архивов
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

 

 


А папку по маршруту "C:\Program Files\Сжатие больших архивов" не смог найти.
Если пытались сделать после фикса, то конечно не найдете

 

С расшифровкой не поможем

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Ars13
      От Ars13
      Касперский нашел вирус HEUR: Trojan. Multi.GenBadur.genw
      Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять все повторяется.
       
    • KZMZ
      От KZMZ
      на мой документах стоят не понятный файл который не удаляется
      вот логи с AVZ5 и FRST
      Addition.txt avz_log.txt FRST.txt
    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
×
×
  • Создать...