Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Зашифрованы файлы

Edger
 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО (что сможете):

 

> Chrome Search

MediaGet

SmartAdverts for Google Chrome™

 

 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\5wdsmanpro5\wdsmanpro.exe');
 StopService('WdsManPro');
 QuarantineFile('C:\Users\Edger\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('c:\programdata\5wdsmanpro5\wdsmanpro.exe','');
 QuarantineFile('C:\Users\Edger\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '');
 QuarantineFile('C:\Users\Edger\AppData\Roaming\Browsers\exe.resworb.bat', '');
 QuarantineFile('C:\Users\Edger\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '');
 QuarantineFile('c:\users\edger\appdata\local\yandex\yandexbrowser\application\browser.bat','');
 QuarantineFile('D:\Program Files\punto.bat','');
 QuarantineFile('C:\Users\Edger\AppData\Roaming\AFYHDNZF.exe', '');
 QuarantineFile('C:\Users\Edger\AppData\Roaming\NJXDVAC.exe', '');
 DeleteFile('c:\programdata\5wdsmanpro5\wdsmanpro.exe','32');
 DeleteFile('C:\Users\Edger\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('c:\users\edger\appdata\local\yandex\yandexbrowser\application\browser.bat','32');
 DeleteFile('D:\Program Files\punto.bat','32');
 DeleteFile('D:\Program Files (x86)\punto.bat','32');
 DeleteFile('C:\Users\Edger\AppData\Roaming\Browsers\exe.rehcnualnoitacilppa.bat', '32');
 DeleteFile('C:\Users\Edger\AppData\Roaming\Browsers\exe.resworb.bat', '32');
 DeleteFile('C:\Users\Edger\AppData\Roaming\Browsers\exe.resworb-mooronik.bat', '32');
 DeleteFile('C:\Users\Edger\AppData\Roaming\AFYHDNZF.exe', '32');
 DeleteFile('C:\Users\Edger\AppData\Roaming\NJXDVAC.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "AFYHDNZF.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "NJXDVAC.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{0673C447-D8FC-4DBB-8EF3-96A0E9A32032}" /F', 0, 15000, true);
 DeleteService('WdsManPro');
ExecuteSysClean;
 ExecuteRepair(4);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 
 
Компьютер перезагрузится.
 
 
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Файл CheckBrowserLnk.log
из папки

 

...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.
 
move.gif
 
Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 
 
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
 
Ссылка на комментарий
Поделиться на другие сайты
  • 4 недели спустя...
Edger Новичок

Edger

Опубликовано
  • Автор
Опубликовано

Лог:

# AdwCleaner v5.009 - Отчёт создан 30/09/2015 в 20:16:12
# Обновлено 27/09/2015 by Xplode
# База данных : 2015-09-30.1 [Сервер]
# Операционная система : Windows 7 Ultimate Service Pack 1 (x64)
# Пользователь : Edger - ДОМАШНИЙ
# Запущено из : C:\Users\Edger\Downloads\adwcleaner_5.009.exe
# Настройка : Очистка
# помощь : http://toolslib.net/forum
 
***** [ Службы ] *****
 
 
***** [ Папки ] *****
 
[-] Папка Удалено : C:\ProgramData\Mail.Ru
[-] Папка Удалено : C:\ProgramData\Media Get LLC
[-] Папка Удалено : C:\ProgramData\Kbupdater Utility
[-] Папка Удалено : C:\ProgramData\productdata
[-] Папка Удалено : C:\ProgramData\5WdsManPro5
[-] Папка Удалено : C:\Users\Edger\AppData\Local\globalUpdate
[-] Папка Удалено : C:\Users\Edger\AppData\Local\Mail.Ru
[-] Папка Удалено : C:\Users\Edger\AppData\Local\MailRu
[-] Папка Удалено : C:\Users\Edger\AppData\Local\Вoйти в Интeрнет 2inf.net
[-] Папка Удалено : C:\Users\Edger\AppData\Local\Google\Chrome\User Data\Default\Extensions\aminlpmkfcdibgpgfajlgnamicjckkjf
[-] Папка Удалено : C:\Users\Edger\AppData\Local\Temp\GetNowUpdater
[-] Папка Удалено : C:\Users\Edger\AppData\Roaming\DigitalSites
[-] Папка Удалено : C:\Users\Edger\AppData\Roaming\istartsurf
[#] Папка Удалено : C:\Users\Edger\AppData\Roaming\smw_inst
[-] Папка Удалено : C:\Users\Edger\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
[-] Папка Удалено : C:\Users\Edger\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\yasearch@yandex.ru
[-] Папка Удалено : C:\Users\Edger\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\vb@yandex.ru
[-] Папка Удалено : C:\Users\Edger\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}
[#] Папка Удалено : D:\Program Files (x86)\Mail.Ru
[-] Папка Удалено : D:\Program Files (x86)\Video Saver
 
***** [ Файлы ] *****
 
[-] Файл Удалено : C:\Users\Edger\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js
[-] Файл Удалено : C:\Users\Edger\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml
 
***** [ Ярлыки ] *****
 
 
***** [ Запланированные задания ] *****
 
[-] Задание Удалено : Kbupdater Utility
[-] Задание Удалено : Recovery Tool for Video Saver
[-] Задание Удалено : Recovery Tool for Video Saver2
[-] Задание Удалено : Recovery Tool for Video Saver
[-] Задание Удалено : Recovery Tool for Video Saver2
 
***** [ Реестр ] *****
 
[-] Ключ Удалено : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
[-] Параметр Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MailRuUpdater]
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\browser.exe
[-] Ключ Удалено : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro
[-] Ключ Удалено : HKLM\System\CurrentControlSet\Services\Eventlog\Application\Update PathMaxx
[-] Ключ Удалено : HKLM\System\CurrentControlSet\Services\Eventlog\Application\Util PathMaxx
[-] Параметр Удалено : HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl\FEATURE_BROWSER_EMULATION [smartSaver+ 15-bg.exe]
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{02A96331-0CA6-40E2-A87D-C224601985EB}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{7CE987D5-11B3-44FC-9C3D-03069360D462}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\CLSID\{05A24304-1561-4565-AF25-BFC59A160CA6}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{39425798-7DC7-42A3-8386-235B3ED67CED}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{653CED39-0660-4ACE-8A8F-CE7F48F5B167}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
[-] Ключ Удалено : HKLM\SOFTWARE\Classes\TypeLib\{421B5223-9CD5-4D2B-9B91-BD0476D4A64A}
[!] Ключ Не Удалено : HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
[!] Ключ Не Удалено : HKLM\SOFTWARE\Classes\TypeLib\{421B5223-9CD5-4D2B-9B91-BD0476D4A64A}
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1}
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{05A24304-1561-4565-AF25-BFC59A160CA6}
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\CLSID\{7CE987D5-11B3-44FC-9C3D-03069360D462}
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\Interface\{39425798-7DC7-42A3-8386-235B3ED67CED}
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Classes\Interface\{653CED39-0660-4ACE-8A8F-CE7F48F5B167}
[-] Ключ Удалено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7}
[-] Ключ Удалено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472F-A0FF-E1416B8B2E3D}
[-] Ключ Удалено : HKCU\Software\IM
[-] Ключ Удалено : HKCU\Software\Media Get LLC
[-] Ключ Удалено : HKCU\Software\etranslator
[-] Ключ Удалено : HKCU\Software\Appscion
[-] Ключ Удалено : HKCU\Software\PRODUCTSETUP
[-] Ключ Удалено : HKLM\SOFTWARE\GlobalUpdate
[-] Ключ Удалено : HKLM\SOFTWARE\InstalledBrowserExtensions
[-] Ключ Удалено : HKLM\SOFTWARE\istartsurfSoftware
[-] Ключ Удалено : HKLM\SOFTWARE\ShopperPro
[-] Ключ Удалено : HKLM\SOFTWARE\SupTab
[-] Ключ Удалено : HKLM\SOFTWARE\Uniblue
[-] Ключ Удалено : HKLM\SOFTWARE\XTRM Group Ltd.
[-] Ключ Удалено : HKLM\SOFTWARE\YTDownloader
[-] Ключ Удалено : HKLM\SOFTWARE\Universal
[-] Ключ Удалено : HKLM\SOFTWARE\WdsManPro
[-] Ключ Удалено : HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
[-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MailRuUpdater
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ASPackage
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart File Advisor_is1
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}
[!] Ключ Не Удалено : [x64] HKCU\Software\IM
[!] Ключ Не Удалено : [x64] HKCU\Software\Media Get LLC
[!] Ключ Не Удалено : [x64] HKCU\Software\etranslator
[!] Ключ Не Удалено : [x64] HKCU\Software\Appscion
[!] Ключ Не Удалено : [x64] HKCU\Software\PRODUCTSETUP
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\464AA55239C100F32AF2D438EDDC0F47
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5652BA3D5FB98AE31B337BF0AF939856
[-] Ключ Удалено : [x64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\86EB95E1AFCBABE3DB9ECCC669B99494
[-] Ключ Удалено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
[!] Ключ Не Удалено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
[-] Ключ Удалено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A18DC559-57F6-470F-8A50-4B4EB906B0CD}
[-] Ключ Удалено : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{A18DC559-57F6-470F-8A50-4B4EB906B0CD}
[!] Ключ Не Удалено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
[!] Ключ Не Удалено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
[!] Ключ Не Удалено : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A18DC559-57F6-470F-8A50-4B4EB906B0CD}
[!] Ключ Не Удалено : HKU\S-1-5-21-3237349864-891262400-2707504988-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}
[!] Ключ Не Удалено : HKU\S-1-5-21-3237349864-891262400-2707504988-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}
[!] Ключ Не Удалено : HKU\S-1-5-21-3237349864-891262400-2707504988-1000\Software\Microsoft\Internet Explorer\SearchScopes\{A18DC559-57F6-470F-8A50-4B4EB906B0CD}
[-] Значение Восстановлено : HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command []
 
***** [ Веб браузеры ] *****
 
[-] [C:\Users\Edger\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\prefs.js] [Preference] Удалено : user_pref("browser.newtab.url", "hxxp://search.baisvik.com/?sourceid=firefox&type=newtab&partner=02500");
 
*************************
 
:: Настройки Winsock очищены
 
########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [12639 байт]

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • trhion3
      Зашифровали файлы в формат .elbie
      Автор trhion3
      Здравствуйте, поймали шифровальщика, файлы имеют вид "Имя_файла.Расширение.id[FCEE43BB-3398].[helprequest@techmail.info].Elbie".
      В прикрепе файлы из папки AppData\Local\Microsoft\Media Player\Sync Playlists\ru-RU\0000CA74, 0000CA74 - может иначе называться, но файлы внутри те же. Там вроде какие-то стандартные виндовые данные из проигрывателя. Оригиналы брал уже со своей системы, Windows 10 x64 и у меня и зараженная, плеером никто никогда ни там ни там не пользовались, так что думаю эти файлы не изменялись с момента установки системы ни там ни там.
      Смотрел другие темы с тегом elbie, вроде как phobos и расшифровки нет, но решил на всякий случай попробовать обратиться.
      Addition.txt FRST.txt зашифрованное.7z
    • MirTa
      Троян ISTANBULTEAM зашифровал файлы
      Автор MirTa
      Здравствуйте, вчера в два этапа  10.00 и  20.00 оказались зашифрованы почти все файлы, в том числе и архиватор, поэтому не могу сложить в архив и не могу их прикрепить, подскажите, пожалуйста, как их сюда добавить
      Important_Notice.txt Addition.txt FRST.txt
    • itman
      История про зашифрованные файлы.
      Автор itman
      Добрый день всем! Хочу поведать вам всем поучительную историю как делать НЕ НАДО!!! В апреле месяце подцепили вирус -шифровальщик! Утром пришли  пользователи, а там все зашифровано на 3 севаках и 2х локалках на которых была расшаренная какая-то папка!! печаль !!! ну а что делать?! благо сисадмин делал копию раз в месяц акрониксом всех серверов, а бухгалтер помимо всего копии на внешний hdd каждое утро и хдд этот хранил в сейфе! (рекомендую всем бухгалтерам так делать!!!) и вот утром сисадмину звонок: -ААА!! Все пропало!! Что делать???? ничего не работает!!!  Помоги!!! и проч))) ну что проснулся от и начал смотреть что все таки произошло! на каждом из серваков при запуске вот такой текст: Encrypted by trust
       Email us for recovery: Rdpdik6@gmail.com
       In case of no answer, send to this email: Rdpp771@gmail.com
      Your unqiue ID:  писать не буду.
       Почти  все файлы (кроме *.dll и тому подобных и системных зашифрованы и переименованы по формуле имя.расширение. [Rdpdik6@gmail.com].lockedfile) и в каждой папке файлик txt c вот таким содержимым:
       Email 1:
      Rdpdik6@gmail.com
      Email 2:
      Rdpp771@gmail.com
      Send messages to both emails at the same time
      So send messages to our emails, check your spam folder every few hours
      ID: эту строчку сотру на всякий случай)
      If you do not receive a response from us after 24 hours, create a valid email, for example, gmail,outlook
      Then send us a message with a new email
      Ну сисадмин начал заниматься восстановлением копии то есть пусть месячные но все же копии а базы 1с так вообще вчерашние!!!  (а это самое главное!) прежде чем все восстанавливать сделал копию того что зашифровали а мало ли)) ну и параллельно всё-таки решил он написать этим недо людям (медикам на букву П), что так и так копии есть ущерб не большой на то что пока будет восстанавливаться копия уйдет время давайте разойдемся все миром и в итоге договорились на 30 баксах. Сисадмин им перевел на их кошелек, а они его кинули ни хрена они ему не прислали!!!!
      Прошло какое-то время (месяца полтора!) и тут пользователи посмотрели что у одного там пара доков осталась в общей папке уже после того как делалась копия у другого тоже какие-то доки  у третьего вообще фото с корпоратива и подумали они что всё-таки давай заплатим этим  людям нетрадиционной ориентации) сумму которую они просят! Скинулись толпой. Вот на переговоры опять отправили сисадмина (как жаль его)! Опять шли переговоры пару дней а то и больше ну вроде нашли они компромисс с шантажистами в размере 250$ те опять прислали адрес куда переводить деньги причем второй раз без гарантий! Типа из всех гарантий попросили прислать любой зашифрованный файл не более мегабайта и они покажут что всё-таки могут расшифровать. Отправили им какой-то pdf они в ответ скрин файла только весь замазанный видно только пару слов по которым надо только больше догадываться! По итогу  Он им опять перевел общий банк:
      Получаете:
      200.0813 Tether TRC20 USDT
      На счет:
      TBgx7szAXYNSwPJz1Ama2K85kTXrCcsnG1
       
      И? что вы думаете? Эти деятели пишут:
      Sinior (это ник в телеге одного из шантажистов )
      Deposit $50
      Sinior
      I won't give you the key until you pay me $50.
      Типа вы не доплатили 50 баксов!! Вот так уважаемые читатели этого поста ни в коем случае не вздумайте им платить так как они вам все равно ничего не пришлют!!! А деньги вы потеряете!!! И ни одного файла не расшифруете там рассчитано не на то чтоб найти компромисс а на то чтоб выдурить с вас побольше денег!!!!!!!
      P.S.    Делайте резервные копии и храните их на внешних hhd  и не оставляйте их подключенными к компьютеру! Сделал копию и отключай да не удобно зато надежно!!!! Всем удачи!!!!
       
      Сообщение от модератора thyrex Перенесено из раздела по шифровальщикам
       
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...