Перейти к содержанию

Здравствуйте. Вирус зашифровал данные.

Евгений Кулик

Автор Евгений Кулик
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Евгений Кулик

Евгений Кулик

Опубликовано
Опубликовано

Вирус зашифровал данные в формат *.xtbl. Проверил компьютер с помощью Kaspersky Virus Removal Tool 2015, и собрал логи и приложил архив с ними к сообщению. Сможете ли вы мне чем-нибудь помочь в моей ситуации? Спасибо.CollectionLog-2015.08.19-23.42.zip

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
IFEO\origin.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\originer.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\originuninstall.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\setup.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\skype.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\teamviewer.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\utorrent.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\xrksmpl.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\xrr1tbe.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-1733675253-907033192-3036185453-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://spacesearch.ru/?ri=1&rsid=7198c2fdea21613eef7e4682fb4f0602&q={searchTerms}
HKU\S-1-5-21-1733675253-907033192-3036185453-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://spacesearch.ru/?ri=1&rsid=7198c2fdea21613eef7e4682fb4f0602&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1733675253-907033192-3036185453-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://spacesearch.ru/?ri=1&rsid=7198c2fdea21613eef7e4682fb4f0602&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1733675253-907033192-3036185453-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://spacesearch.ru/?ri=1&rsid=7198c2fdea21613eef7e4682fb4f0602&q=
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKU\S-1-5-21-1733675253-907033192-3036185453-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
DefaultPrefix-x32: => http://spacesearch.ru/?ri=1&rsid=7198c2fdea21613eef7e4682fb4f0602&q= <==== ATTENTION
FF Extension: SocialLife for Firefox™ - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\slext@sl.dev [2015-04-13]
OPR Extension: (SL for Google Chrome™) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-04-13]
2015-07-22 19:25 - 2015-07-22 19:25 - 03148854 _____ C:\Users\Admin\AppData\Roaming\6AAB14456AAB1445.bmp
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README9.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README8.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README7.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README6.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README5.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README4.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README3.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README2.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README10.txt
2015-07-22 19:25 - 2015-07-22 19:25 - 00000893 _____ C:\Users\Admin\Desktop\README1.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README9.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README8.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README7.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README6.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README5.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README4.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README3.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README2.txt
2015-07-22 16:46 - 2015-07-22 16:46 - 00000893 _____ C:\README10.txt
2015-07-22 16:45 - 2015-07-23 13:22 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-22 16:45 - 2015-07-23 13:22 - 00000000 __SHD C:\ProgramData\Windows
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Anton3456
      Здравствуйте появился вирус
      Автор Anton3456
      Здравствуйте не давно решил скачать дискорд через день удалили решил зайти в автозагрузки и увидел файл Дискорд переудалял все решил переустановить виндоус появляется ошибка помогите 
       

    • Zakot
      Вирус зашифровал данные на сервере
      Автор Zakot
      На сервере вчера вирус зашифровал данные, возможно через RDP попал, сегодня обнаружили.
      virus.zipFRST.txtAddition.txt
    • Дмитрий С1990
      Зашифровали данные
      Автор Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • Илья-Р
      Surtr зашифровал данные
      Автор Илья-Р
      Surtr зашифровал данные.
       
      Ниже сообщение.
       
      What happened to your files?
      Unfortunately, your server was compromised, 
      using a security hole in your server.
      All your files are encrypted with a military algorithm .
      in order to contact us you can email this address
      dectokyo@onionmail.org
      use this ID( l0s9viwsc8if5y ) for the title of your email.
      if you weren't able to contact us within 24 hours please email :
      dectokyo@cock.li , TELEGRAM :@tokyosupp
      Only we can decrypt your files.
      Please do not contact separate fraudulent sites.
      You can use freeand even paid software on the Internet, 
      but it is uselessand will cause you to lose filesand timeand money.
       
      В приложении архив RAR. 
       
      Подскажите, пожалуйста, как расшифровать?
      Surtr.rar
    • Оке
      Здравствуйте Евгений!
      Автор Оке
      Очень меня Огорчила ваша компания в этом году!😗
      Не понятно почему у меня автоматически списалась оплата за авто продление вашего продукта в таком не соизмеримом размере для меня. менеджер с телефона 8800 200 ....  сообщил что у меня было включено автопродление! Я этого не включал! Он говорит у меня стояла галочка. Мне шестьдесят с лишним лет и я полу слепой. в прошлом году я оплачивал сумму в два раза меньше! А что случилось в этом году!? Я бы эти деньги лучше на продукты питания потратил. Вам не с кого брать полную стоимость у тех у кого денег зажравшиеся куры не клюют? Надо стариков окучивать по полной программе!? У меня даже поднялось давление и стало плохо. Это всё за что? За долгие годы оплат вам и использование ваших прекрасных приложений больше 10 лет? Спасибо Вам за всё! Я очень огорчен.😒
×
×
  • Создать...