Перейти к содержанию

Файлы зашифрованы email-hontekilla@aol.com.ver-CL 1.1.0.0.id-YZZAABBCCDDEEEEFFGGHHIIJJJJKLLMMNNNN-17.09.2015 18@05@164038342.randomname-JKLLMMMNNOOPPQ


Рекомендуемые сообщения

Помогите, пожалуйста, с дешифрацией файлов.

Ребенок скачал и запустил на компьютере файл с вирусом flashplayer.exe

Часть файлов была зашифрована с названием C:\Users\Egor\Downloads\email-hontekilla@aol.com.ver-CL 1.1.0.0.id-YZZAABBCCDDEEEEFFGGHHIIJJJJKLLMMNNNN-17.09.2015 18@05@164038342.randomname-JKLLMMMNNOOPPQQQRRSSTTUUVVVVWW.XYY.cbf

Логи прилагаю.

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteFile('C:\Users\Egor\AppData\Roaming\newSI_1\s_inst.exe','32');
DeleteFile('C:\Users\Egor\AppData\Roaming\newSI_2149\s_inst.exe','32');
DeleteFile('C:\Users\Egor\AppData\Roaming\newSI_4396\s_inst.exe','32');
DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');
DeleteFile('C:\Windows\Tasks\newSI_2149.job','32');
DeleteFile('C:\Windows\Tasks\newSI_1.job','32');
DeleteFile('C:\Windows\system32\Tasks\newSI_1','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_2149','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_4396','64');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-331665346-1172238138-3931492341-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Egor\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {A0AFB789-E898-4D51-B6C4-352A815DBB7B} - \GoogleUpdateTaskUserS-1-5-21-331665346-1172238138-3931492341-500UA -> No File <==== ATTENTION
Task: {A43127F2-D4E4-4F02-8500-FFF33212143F} - \GoogleUpdateTaskUserS-1-5-21-331665346-1172238138-3931492341-500Core -> No File <==== ATTENTION
FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Egor\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
FF Extension: SuperMegaBest.com - C:\Users\Egor\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-05-01]
FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\Egor\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/","hxxp://www.oursurfing.com/?type=hp&ts=1430637352&z=b7e3bce0018d883877cac34g9z8cbe2q0c9m7ccwcg&from=exp&uid=ST1000LM024XHN-M101MBB_S2SMJ9EF121121","hxxp://mail.ru/cnt/10445?gp=anvir5","hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://mail.ru/cnt/10445?gp=openpart3","hxxp://www.oursurfing.com/?type=hp&ts=1433102687&z=42c8168c1af42c5ce1b15a9gbzbcdc8g3e4obqdb9m&from=cmi&uid=ST1000LM024XHN-M101MBB_S2SMJ9EF121121"
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
2015-09-18 14:23 - 2015-09-18 14:23 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
2015-09-18 14:23 - 2015-09-18 14:23 - 0118699 _____ () C:\Program Files (x86)\desk.jpg
2015-09-17 18:05 - 2015-09-17 18:52 - 0000081 _____ () C:\Program Files (x86)\HFOYAZRBIQ.BRF
2015-04-29 14:43 - 2015-04-29 14:43 - 0061440 _____ () C:\Users\Egor\AppData\Roaming\AntiSpy.exe
2015-04-29 14:43 - 2015-04-29 14:43 - 0053248 _____ () C:\Users\Egor\AppData\Roaming\icub.exe
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...