Перейти к содержанию

Вирус-шифровальщик

Арсен Омаров

Автор Арсен Омаров,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 0

Рекомендуемые сообщения

thyrex

thyrex 1 468

Опубликовано
Опубликовано

Не нужен лог CureIt 

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
B92LqRQ.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{0a3f4dfe-fd14-49c7-9d51-748d15a767d2}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{37bcb01c-0b25-45b6-8a7e-8e56b77d18ff}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{7365bebe-ac14-47f3-bff2-252f9ead5c7b}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{7446bb6e-5720-405b-8839-464d958a95d5}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{a87602aa-13fc-4d6a-b2e8-e02787e59dad}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_5_a7.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_6_86.tmp No File
CustomCLSID: HKU\S-1-5-21-1060284298-484763869-839522115-1004_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Documents and Settings\User\Local Settings\Temp\v8_9_58.tmp No File
2015-08-26 12:04 - 2015-08-26 12:04 - 02127760 _____ () c:\documents and settings\user\local settings\temp\18E42C4F-C488F93B-33D3F96E-90AF5692\YCh4csCi1wz5.exe
2015-08-26 12:04 - 2015-08-26 12:04 - 07159440 _____ () c:\documents and settings\user\local settings\temp\18E42C4F-C488F93B-33D3F96E-90AF5692\bgNW7Ueg.exe
2015-08-26 12:04 - 2015-08-26 12:04 - 00575568 _____ () c:\documents and settings\user\local settings\temp\18E42C4F-C488F93B-33D3F96E-90AF5692\16ByX69Mgi.exe
2015-08-24 14:23 - 2015-08-24 14:23 - 0927422 _____ () C:\Program Files\desk.bmp
2015-08-24 14:23 - 2015-08-24 14:23 - 0153072 _____ () C:\Program Files\desk.jpg
2014-06-13 10:53 - 2014-06-13 10:53 - 0000000 _____ () C:\Program Files\GUTA.tmp
2015-08-24 08:52 - 2015-08-24 11:23 - 0000080 _____ () C:\Program Files\WINBADLKEJ.QWQ
C:\Documents and Settings\User\Local Settings\Temp\amigo_setup.exe
2015-08-24 08:51 - 2015-08-24 08:51 - 00000000 ____D C:\Program Files\-
CHR HKLM\...\Chrome\Extension: [ammimpcjlmgdopmciflldhodhndbkjje] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ch\VideoPlayerV3beta4682.crx [2014-01-10]
CHR HKLM\...\Chrome\Extension: [bnmalfappjcpkibgfmlkglcphfebladf] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ch\MediaViewerV1alpha1035.crx [2014-02-23]
CHR HKLM\...\Chrome\Extension: [boleokljlgdlkohhgmgidomgpmjcedka] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ch\TrustMediaViewerV1alpha3037.crx [2014-06-26]
CHR HKLM\...\Chrome\Extension: [cmkceignmndidniaehafljfjoffidpcg] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ch\RichMediaViewV1release1129.crx [2014-05-13]
CHR HKLM\...\Chrome\Extension: [idlfcbgjmppbaefnldbfkecfpjehfeoj] - C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ch\MediaViewV1alpha2761.crx [2014-02-27]
CHR HKLM\...\Chrome\Extension: [jlbofdlckgphdgdmknlpofkibljbbcdo] - C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ch\MediaViewV1alpha3753.crx [2014-02-27]
CHR HKLM\...\Chrome\Extension: [lgfhkbopejogkdppopfjdnodepgkmomc] - C:\Program Files\MediaWatchV1\MediaWatchV1home328\ch\MediaWatchV1home328.crx [2014-03-20]
CHR HKLM\...\Chrome\Extension: [poiaiffjbcngbfjhogheojadgkfjljmd] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ch\MediaBuzzV1mode8206.crx [2014-04-24]
FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta4682.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ff
FF Extension: Video Player - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4682\ff [2014-01-14]
FF HKLM\...\Firefox\Extensions: [ext@MediaPlayerV1alpha501.net] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha501\ff
FF Extension: Media Player - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha501\ff [2014-01-29]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewerV1alpha1035.net] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ff
FF Extension: Media Viewer - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1035\ff [2014-02-24]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha2761.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ff
FF Extension: Media View - C:\Program Files\MediaViewV1\MediaViewV1alpha2761\ff [2014-02-28]
FF HKLM\...\Firefox\Extensions: [ext@MediaViewV1alpha3753.net] - C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ff
FF Extension: Media View - C:\Program Files\MediaViewV1\MediaViewV1alpha3753\ff [2014-03-16]
FF HKLM\...\Firefox\Extensions: [ext@MediaWatchV1home328.net] - C:\Program Files\MediaWatchV1\MediaWatchV1home328\ff
FF Extension: Media Watch - C:\Program Files\MediaWatchV1\MediaWatchV1home328\ff [2014-03-23]
FF HKLM\...\Firefox\Extensions: [ext@MediaBuzzV1mode8206.net] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ff
FF Extension: Media Buzz - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode8206\ff [2014-04-25]
FF HKLM\...\Firefox\Extensions: [ext@RichMediaViewV1release1129.net] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ff
FF Extension: Rich Media View - C:\Program Files\RichMediaViewV1\RichMediaViewV1release1129\ff [2014-05-14]
FF HKLM\...\Firefox\Extensions: [ext@TrustMediaViewerV1alpha3037.net] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ff
FF Extension: Trust Media Viewer - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha3037\ff [2014-06-29]
Toolbar: HKU\S-1-5-21-1060284298-484763869-839522115-1004 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
HKU\S-1-5-21-1060284298-484763869-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-1060284298-484763869-839522115-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-1060284298-484763869-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-1060284298-484763869-839522115-1004 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
CHR HKU\S-1-5-21-1060284298-484763869-839522115-1004\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\...\Run: [] => [X]
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
Арсен Омаров

Арсен Омаров 0

Опубликовано
  • Автор
Опубликовано

@thyrex, У нее касперский 6, зашла в лицензии..говорит что там сообщение "Срок действия лицензии истек...и т.д." и не знает как долго он без лицензии

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Svetlana1965
      Помогите, пожалуйста, расшифровать файлы
      От Svetlana1965
      Здравствуйте, уважаемые сотрудники форума! Я к вам с огромной просьбой. Помогите, пожалуйста, расшифровать мои файлы после вируса - шифровальщика (как я узнала позже). Теперь все мои файлы зашифрованы с расширением .zip и имеют название "932 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash". Пожалуйста, подскажите, что мне нужно сделать. Утеряны все фотографии моих детей и внуков, файлы по работе. Так расстроена. Видео и музыка не тронуты.  
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • vaz21102
      Вирус-шифровальщик на серверах
      От vaz21102
      В домене все сервера выдают сообщение "All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com". Рабочий стол не грузиться.К имени файлов на серверах добавился текст "id-1A54EC80.[smith11@keemail.me].Aim"
      Addition.txt FRST.txt hijackthis.log virus.rar
    • isavr
      поймал шифровальщика
      От isavr
      Друзья, подскажите что делать? первый раз поймал шифровальщика
      sample.zip FRST.txt Addition.txt
    • thyrex
      Обновленный ShadeDecryptor
      От thyrex
      Здравствуйте, Евгений Валентинович.
       
      Вы конечно же в курсе, что недавно группа, занимавшаяся распространением вируса-шифровальщика Shade, официально объявила о завершении своей деятельности и предоставила антивирусным компаниям все ключи, необходимые для расшифровки файлов пользователей, пострадавших от их шифровальщика, коих оказалось около 750 тысяч. Ваши сотрудники оперативно обновили утилиту для расшифровки, за что им честь и хвала. Однако без ложки дегтя не обошлось: утилита по-прежнему просит от пострадавших указать путь к одному из файлов README[1-10].txt с информацией, необходимой для оперативного выбора ключа. А как быть пользователям, которые благополучно сохранили пострадавшие файлы с прицелом на будущее, переустановили систему, а файлов README не сохранили? Не могли бы Вы попросить автора утилиты ShadeDecryptor предусмотреть возможность простого перебора всех имеющихся ключей при отсутствии необходимого файла с информацией? Кроме того, службе веб-поддержки также необходимо обновить информацию  о данной утилите на сайте https://support.kaspersky.ru/viruses/utility .
       
      Спасибо за содействие.
    • me4dy
      Вирус зашифровал файлы. Расширение .Enter
      От me4dy
      Вирус зашифровал файлы на компьютере. Расширение новых файлов .Enter
      В письме от вымогателей указана почта
      enter_software@aol.com
      enter_software@india.com
       
      Прошу помощи. Если необходимо то есть файлы .pdf до и после шифрования
      CollectionLog-2018.11.20-14.12.zip
      report1.log
      report2.log
×
×
  • Создать...