Перейти к содержанию

Рекомендуемые сообщения

Знакомой пришло письмо со ссылко на какие-то документы. Она перешла по ссылке и все документы, фотографии, картинки, данные и так далее переименовались в следующее:

email-iizomer@aol.com.ver-CL 1.0.0.0.id* и много разных буковок и цифр. Есть ли способ дешифровать? или хотябы точно узнать что его на компьютере не осталось?

CollectionLog-2015.07.15-11.05.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\Program Files\simpleinf.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pr','command');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-codedownloader.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-enabler.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-firefoxinstaller.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-updater.job','32');
DeleteFile('C:\WINDOWS\Tasks\SmartSaver+ 12-validator.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на сообщение
Поделиться на другие сайты

Новый лог

 

Ошибочка вышла, не тот лог отправил сейчас переделаю

CollectionLog-2015.07.15-12.23.zip

Изменено пользователем Merab
Ссылка на сообщение
Поделиться на другие сайты
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Да, менее часа - и вся информация зашифрована.

 

Ссылка, по которой скачали шифратор, сохранилась?

 

Содержимое папки C:\Program Files\Сжатие больших архивов заархивируйте с паролем virus, выложите на rghost.ru и пришлите ссылку мне в личные сообщения

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=114&itype=a&ver=12692&tm=291&src=ds&p={searchTerms}
SearchScopes: HKU\S-1-5-21-329068152-706699826-682003330-500 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=PTV2&o=15851&src=crm&q={searchTerms}&locale=ru_RU&apn_ptnrs=H3&apn_dtid=YYYYYYYYRU&apn_uid=67B1AED8-9E7F-4081-9B35-52A7D18A0494&apn_sauid=D4917007-A4CC-499A-B9EF-54410E9DB0F0
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-329068152-706699826-682003330-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2015-07-14 09:47 - 2015-07-14 10:41 - 00000079 _____ C:\Program Files\WFQQRXFAWV.DVZ
2015-07-14 09:47 - 2015-07-14 10:36 - 30222356 _____ C:\Program Files\log1.log
2015-07-14 09:46 - 2015-07-14 09:46 - 00000000 ____D C:\Program Files\Сжатие больших архивов
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

 

 


А папку по маршруту "C:\Program Files\Сжатие больших архивов" не смог найти.
Если пытались сделать после фикса, то конечно не найдете

 

С расшифровкой не поможем

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Амир
      Добрый вечер! Поймал вирус, в этот момент был установлен KTS, он сразу начал лечить, обнаружил кучу троянов и майнер, ну я и думал, что проблема прошла. Однако у меня не скачивались файлы в браузере и вообще компьютер странно себя вёл. Решил переустановить антивирус, и тут столкнулся с описанной в заголовке проблемой. Огромное спасибо всему вашему коммьюнити)
       
      К тому же видимо у меня украли пароли, хранящиеся в системе, т.к. кто-то пытался войти в мой вк, однако двухфакторка не дала. Через консоль обнаружил стороннюю учётную запись 'john', прямо как год назад) Однако теперь командой /delete она не удаляется, мол, не достаточно прав
      CollectionLog-2020.11.30-22.46.zip
    • От galik
      Не с того не с чего KIS вдруг выдал что у меня в системной памяти троян ,после лечения с перезагрузкой.Проверил с помощью AutoLogger-test.


      CollectionLog-2020.11.28-18.14.zip
    • От Александр Алексеев
      Добрый день. Дети долгое время пользовались ноутбуком и нахватали вирусов.  Вставил в ноут свою флэшку и все файлы превратились в ярлыки. Помогите пожалуйста удалить вирусы с ноутбука и востановить файлы.
      CollectionLog-2020.11.26-18.11.zip
    • От Den1xxx
      Как в этой теме:
      Поймали такого же шифровальщика.
      Благо были бекапы, пропало немного, но хотелось бы разобраться, поддается ли расшифровке.
      Некоторые признаки позволяют на это надеяться.
      Внутри файлов есть «техническая секция», ключ открытый видимо зашит в названиях.
      Имеются дубликаты файлов нешифрованных.
      Имеются части программ жулика.
      Логи, собранные Farbar Recovery Scan Tool, собрать не получается.
      Связывался ради интереса с жуликом, выслал 2 файла.
      То, что он может расшифровать, он доказал, прислал скрины:

      То, что он получил 2 файла и расшифровал, также доказывает наличие открытого ключа в файле или скорее всего в его имени.
      Возможно, их два, каждый файл оканчивается 4F931AF4-67D384F2
       
      shifr.zip следы_взлома.zip
    • От Hoarrr
      Доброго времени суток!
      Последний Kaspersky Total Security постоянно находит в памяти MEM:Trojan.Win32.SEPEH.gen. Выбор опции лечение с перезагрузкой не помогает. KTS что-то делает, потом перезагружает компьютер, рапортует о том, что все вылечено, но через какое-то время выдает сообщение об обнаружении MEM:Trojan.Win32.SEPEH.gen в системной памяти. При повторном запуске полного сканирования с максимальными настройками безопасности в системной памяти то находит MEM:Trojan.Win32.SEPEH.gen, то не находит, будто бы через раз это делает.
×
×
  • Создать...