Перейти к содержанию

Файлы зашифрованы email-hontekilla@aol.com.ver-CL 1.1.0.0.id-YZZAABBCCDDEEEEFFGGHHIIJJJJKLLMMNNNN-17.09.2015 18@05@164038342.randomname-JKLLMMMNNOOPPQ

Егор Орлов

Автор Егор Орлов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Егор Орлов

Егор Орлов

Опубликовано
Опубликовано

Помогите, пожалуйста, с дешифрацией файлов.

Ребенок скачал и запустил на компьютере файл с вирусом flashplayer.exe

Часть файлов была зашифрована с названием C:\Users\Egor\Downloads\email-hontekilla@aol.com.ver-CL 1.1.0.0.id-YZZAABBCCDDEEEEFFGGHHIIJJJJKLLMMNNNN-17.09.2015 18@05@164038342.randomname-JKLLMMMNNOOPPQQQRRSSTTUUVVVVWW.XYY.cbf

Логи прилагаю.

Addition.txt

FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\Users\Egor\AppData\Roaming\newSI_1\s_inst.exe','32');
DeleteFile('C:\Users\Egor\AppData\Roaming\newSI_2149\s_inst.exe','32');
DeleteFile('C:\Users\Egor\AppData\Roaming\newSI_4396\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');
DeleteFile('C:\Windows\Tasks\newSI_2149.job','32');
DeleteFile('C:\Windows\Tasks\newSI_1.job','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_1','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_4396','64');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

thyrex

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {A0AFB789-E898-4D51-B6C4-352A815DBB7B} - \GoogleUpdateTaskUserS-1-5-21-331665346-1172238138-3931492341-500UA -> No File <==== ATTENTION
Task: {A43127F2-D4E4-4F02-8500-FFF33212143F} - \GoogleUpdateTaskUserS-1-5-21-331665346-1172238138-3931492341-500Core -> No File <==== ATTENTION
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Egor\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: SuperMegaBest.com - C:\Users\Egor\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-05-01]
FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Egor\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/","hxxp://www.oursurfing.com/?type=hp&ts=1430637352&z=b7e3bce0018d883877cac34g9z8cbe2q0c9m7ccwcg&from=exp&uid=ST1000LM024XHN-M101MBB_S2SMJ9EF121121","hxxp://mail.ru/cnt/10445?gp=anvir5","hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://mail.ru/cnt/10445?gp=openpart3","hxxp://www.oursurfing.com/?type=hp&ts=1433102687&z=42c8168c1af42c5ce1b15a9gbzbcdc8g3e4obqdb9m&from=cmi&uid=ST1000LM024XHN-M101MBB_S2SMJ9EF121121"
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
2015-09-18 14:23 - 2015-09-18 14:23 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
2015-09-18 14:23 - 2015-09-18 14:23 - 0118699 _____ () C:\Program Files (x86)\desk.jpg
2015-09-17 18:05 - 2015-09-17 18:52 - 0000081 _____ () C:\Program Files (x86)\HFOYAZRBIQ.BRF
2015-04-29 14:43 - 2015-04-29 14:43 - 0061440 _____ () C:\Users\Egor\AppData\Roaming\AntiSpy.exe
2015-04-29 14:43 - 2015-04-29 14:43 - 0053248 _____ () C:\Users\Egor\AppData\Roaming\icub.exe
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...