Перейти к содержанию

Вирус-шифровальщик

Арсен Омаров

Автор Арсен Омаров
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Не нужен лог CureIt 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
2015-08-26 12:04 - 2015-08-26 12:04 - 02127760 _____ () c:\documents and settings\user\local settings\temp\18E42C4F-C488F93B-33D3F96E-90AF5692\YCh4csCi1wz5.exe
2015-08-26 12:04 - 2015-08-26 12:04 - 07159440 _____ () c:\documents and settings\user\local settings\temp\18E42C4F-C488F93B-33D3F96E-90AF5692\bgNW7Ueg.exe
2015-08-26 12:04 - 2015-08-26 12:04 - 00575568 _____ () c:\documents and settings\user\local settings\temp\18E42C4F-C488F93B-33D3F96E-90AF5692\16ByX69Mgi.exe
2015-08-24 14:23 - 2015-08-24 14:23 - 0927422 _____ () C:\Program Files\desk.bmp
2015-08-24 14:23 - 2015-08-24 14:23 - 0153072 _____ () C:\Program Files\desk.jpg
2014-06-13 10:53 - 2014-06-13 10:53 - 0000000 _____ () C:\Program Files\GUTA.tmp
2015-08-24 08:52 - 2015-08-24 11:23 - 0000080 _____ () C:\Program Files\WINBADLKEJ.QWQ
C:\Documents and Settings\User\Local Settings\Temp\amigo_setup.exe
2015-08-24 08:51 - 2015-08-24 08:51 - 00000000 ____D C:\Program Files\-
CHR HKLM\...\Chrome\Extension: [ammimpcjlmgdopmciflldhodhndbkjje] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ch\VideoPlayerV3beta4682.crx [2014-01-10]
CHR HKLM\...\Chrome\Extension: [bnmalfappjcpkibgfmlkglcphfebladf] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ch\MediaViewerV1alpha1035.crx [2014-02-23]
CHR HKLM\...\Chrome\Extension: [boleokljlgdlkohhgmgidomgpmjcedka] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ch\TrustMediaViewerV1alpha3037.crx [2014-06-26]
CHR HKLM\...\Chrome\Extension: [cmkceignmndidniaehafljfjoffidpcg] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ch\RichMediaViewV1release1129.crx [2014-05-13]
CHR HKLM\...\Chrome\Extension: [idlfcbgjmppbaefnldbfkecfpjehfeoj] - C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ch\MediaViewV1alpha2761.crx [2014-02-27]
CHR HKLM\...\Chrome\Extension: [jlbofdlckgphdgdmknlpofkibljbbcdo] - C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ch\MediaViewV1alpha3753.crx [2014-02-27]
CHR HKLM\...\Chrome\Extension: [lgfhkbopejogkdppopfjdnodepgkmomc] - C:\Program Files\MediaWatchV1\MediaWatchV1home328\ch\MediaWatchV1home328.crx [2014-03-20]
CHR HKLM\...\Chrome\Extension: [poiaiffjbcngbfjhogheojadgkfjljmd] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ch\MediaBuzzV1mode8206.crx [2014-04-24]
FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta4682.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ff
FF Extension: Video Player - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ff [2014-01-14]
FF HKLM\...\Firefox\Extensions: [ext@MediaPlayerV1alpha501.net] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha501\ff
FF Extension: Media Player - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha501\ff [2014-01-29]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewerV1alpha1035.net] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ff
FF Extension: Media Viewer - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ff [2014-02-24]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha2761.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ff
FF Extension: Media View - C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ff [2014-02-28]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha3753.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ff
FF Extension: Media View - C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ff [2014-03-16]
FF HKLM\...\Firefox\Extensions: [ext@MediaWatchV1home328.net] - C:\Program Files\MediaWatchV1\MediaWatchV1home328\ff
FF Extension: Media Watch - C:\Program Files\MediaWatchV1\MediaWatchV1home328\ff [2014-03-23]
FF HKLM\...\Firefox\Extensions: [ext@MediaBuzzV1mode8206.net] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ff
FF Extension: Media Buzz - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ff [2014-04-25]
FF HKLM\...\Firefox\Extensions: [ext@RichMediaViewV1release1129.net] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ff
FF Extension: Rich Media View - C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ff [2014-05-14]
FF HKLM\...\Firefox\Extensions: [ext@TrustMediaViewerV1alpha3037.net] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ff
FF Extension: Trust Media Viewer - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ff [2014-06-29]
Toolbar: HKU\S-1-5-21-1060284298-484763869-839522115-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
HKU\S-1-5-21-1060284298-484763869-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-1060284298-484763869-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-1060284298-484763869-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-1060284298-484763869-839522115-1004 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
CHR HKU\S-1-5-21-1060284298-484763869-839522115-1004\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\...\Run: [] => [X]
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Арсен Омаров

Арсен Омаров

Опубликовано
  • Автор
Опубликовано (изменено)

Готово



 


@thyrex

Fixlog.txt

Изменено пользователем Арсен Омаров
Арсен Омаров

Арсен Омаров

Опубликовано
  • Автор
Опубликовано

Антивирус лицензионный?

Она не знает. Но он старой версии. Что делать?

thyrex

thyrex

Опубликовано
Опубликовано

Если лицензионный, будет один совет, если нет - другой

Арсен Омаров

Арсен Омаров

Опубликовано
  • Автор
Опубликовано

@thyrex, У нее касперский 6, зашла в лицензии..говорит что там сообщение "Срок действия лицензии истек...и т.д." и не знает как долго он без лицензии

thyrex

thyrex

Опубликовано
Опубликовано

Тогда, увы, работает вариант №2 - с расшифровкой помогут только злодеи

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sater123
      Вирус шифровальщик
      Автор sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Vital888
      Вирус шифровальщик
      Автор Vital888
      Здравствуйте. Помогите пожалуйста. На компьютере с утра обнаружил зашифрованные файлы. 
       
    • dgluhov
      Вирус-шифровальщик
      Автор dgluhov
      Зашифрованы все файлы на компьютере. Имена файлов типа: z52weovl6gu8t9c-Mail(itservicerec@zohomail.eu)-ID(89547642786312).trfsqa. Расширения разные
      Обнаружил папку DecryptionKey на каждом из дисков. Утилиту FIRST.exe запустить смог только с диска восстановления
      Логи во вложении
      DecryptionKey.zip FRST.zip
    • ppasoft
      Вирус шифровальщик
      Автор ppasoft
      Взломали пароль к РДП, заразили вирусом-шифровальщика 2 компьютера.
      На обоих стоял Касперский KIS 12.
      На рабочем столе взломанного аккаунта нашел файл вируса(пароль от архива 123), также там есть еще какие то файлы с названием 5-NS new.exe, с размером около 300мб, вероятно 
      использовалось для установки вирусов. На диске где установлен windows была папка Decryption key, ее тоже приложил в архив файлы, возможно поможет. Также архиве приложен текст вымогателя, логи программы 
      FRST.
      virus.rar Файлы.rar
    • Elgfinby
      Вирус шифровальщик
      Автор Elgfinby
      Здравствуйте, поймали вирус-шифровальщик,  появился такой файл:
      Привет!
      Все файлы зашифрованы.
      Попытка расшифровать файлы приведет к их повреждению.
      Я могу помочь вам за определенную плату.
      Ваш ID ********.
      Свяжитесь со мной по электронной почте — cryptoexpertoo@hotmail.com.

      Если ID нужен, то могу отправить. Так же в файле сообщение ещё на нескольких языках

      Также, если нужно, могу прислать зашифрованные файлы.

      На рабочем столе заставка не поменялась, стоит Kaspersky Internet Security 21.3.10.391(k), быстрая проверка вирусов не находит
×
×
  • Создать...