Перейти к содержанию

Файлы зашифрованы email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id


Рекомендуемые сообщения

Добрый день!

При случайном открытии письма поймал вирус вот  что получилось

 email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-XYZZAABCDDEFFFGHIIJJJKLLMNNOOOPQRRSS-20.10.2015 8@46@084640325.randomname-QRSSUUVVWWXXYZZZAABCCDEEEFFGHH.IIJ.cbf

Вот содержание письма с  buh@akvamarin.ru

Уважаемые коллеги!

Здравствуйте!
Обращаем Ваше внимание, что в нашей компании 07.09.2015
произошла смена Генерального директора, во вложении высылаем
Вам новый договор, который необходимо подписать в кротчайшие сроки
и прислать его к нам в офис с оригинальной подписью и печатью
Спасибо!
C Уважением
Главный Бухгалтер ООО Елампа
Ким Виктория
Файлы(2)
  1)       адрес ссылки     
  2)    адрес ссылки  

CollectionLog-2015.10.21-22.53.zip

Оригенал файла без шифра Res-mods.SU---mod-svetlyachokt.rar

email-Seven_Legion2@aol.com.ver-CL 1.0.0.0.id-XYZZAABCDDEFFFGHIIJJJKLLMNNOOOPQRRSS-20.10.2015 8@46@084640325.randomname-QRSSUUVVWWXXYZZZAABCCDEEEFFGHH.IIJ.rar

Изменено пользователем mike 1
Вирусная ссылка
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
FF Extension: Default SearchProtected  - C:\Users\Dasboot\AppData\Roaming\Mozilla\Firefox\Profiles\nfyk8bsy.default\Extensions\defsearchp@gmail.com [2015-09-07] [not signed]
FF Extension: deskCut - C:\Users\Dasboot\AppData\Roaming\Mozilla\Firefox\Profiles\nfyk8bsy.default\Extensions\deskCutv2@gmail.com [2015-09-07] [not signed]
FF Extension: Shop and Save Up - C:\Users\Dasboot\AppData\Roaming\Mozilla\Firefox\Profiles\nfyk8bsy.default\Extensions\ffddf830-f24b-489e-9e90-a42d11893b1c@gmail.com [2015-09-07] [not signed]
FF Extension: Универсальный перевод для FireFox - C:\Users\Dasboot\AppData\Roaming\Mozilla\Firefox\Profiles\nfyk8bsy.default\Extensions\translator@zoli.bod [2015-05-22] [not signed]
CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1432871570&z=fa2bd2e4794f26f1d53ff15gdz6c6o4b3mfgaw0c6m&from=wpm05293&uid=ST500DM005XHD502HJ_S20BJ90CC82184","hxxp://www.istartsurf.com/?type=hp&ts=1441613742&z=78b315cc6f2285a834cdc10g1z8zbg7qeg6cdwet6t&from=smt&uid=OCZ-VERTEX3_A20Y8011308003811","hxxp://mail.ru/cnt/10445?gp=newcustom3","hxxp://www.mystartsearch.com/?type=hp&ts=1443232236&z=c1272407a0ed404c777b6aag6z5z8cdo2cbobe3q2g&from=cmi&uid=OCZ-VERTEX3_A20Y8011308003811"
CHR Session Restore: Default -> is enabled.
CHR Extension: (Вход в Одноклассники.ru) - C:\Users\Dasboot\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhnmhpibgmlgfahagjeflhoaconcagp [2015-02-09]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
OPR Extension: (Shop and Save Up) - C:\Users\Dasboot\AppData\Roaming\Opera Software\Opera Stable\Extensions\ablgnpngfaaficpckehadaljnjgjkhbi [2015-10-08]
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Dasboot\AppData\Roaming\Opera Software\Opera Stable\Extensions\fjnbnpbmkenffdnngjfgmeleoegfcffe [2015-05-22]
2015-09-26 12:11 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Все пользователи\WWdsManProW
2015-09-26 12:11 - 2015-09-26 18:14 - 00000000 ____D C:\ProgramData\WWdsManProW
2015-09-26 11:51 - 2015-10-20 12:29 - 00000000 ____D C:\Users\Все пользователи\Browsers
2015-09-26 11:51 - 2015-10-20 12:29 - 00000000 ____D C:\Users\Dasboot\AppData\Local\Browsers
2015-09-26 11:51 - 2015-10-20 12:29 - 00000000 ____D C:\ProgramData\Browsers
2015-09-26 11:51 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Все пользователи\9WdsManPro9
2015-09-26 11:51 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Dasboot\AppData\Local\gmsd_ru_005010096
2015-09-26 11:51 - 2015-09-26 18:14 - 00000000 ____D C:\ProgramData\9WdsManPro9
2015-09-26 11:50 - 2015-09-26 18:11 - 00000000 ____D C:\Users\Dasboot\AppData\LocalLow\SmartWeb
2015-09-26 11:39 - 2015-10-21 22:11 - 00000000 ____D C:\Users\Dasboot\AppData\Local\03DE0294-1443267599-056A-3406-990700080009
2015-09-26 11:39 - 2015-09-26 11:39 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-09-26 11:39 - 2015-09-26 11:39 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-09-26 11:38 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Dasboot\AppData\Local\gmsd_ru_025010096
2015-09-26 11:38 - 2015-09-26 18:14 - 00000000 ____D C:\Users\Dasboot\AppData\Local\cobunce
2015-09-26 11:38 - 2015-09-26 11:51 - 00000000 ____D C:\Users\Dasboot\AppData\Roaming\MailProducts
2015-09-26 11:37 - 2015-10-21 21:29 - 00000000 ____D C:\Program Files\UBar
2015-09-26 11:37 - 2015-09-26 11:37 - 00000000 ____D C:\Users\Все пользователи\UBar
2015-09-26 11:37 - 2015-09-26 11:37 - 00000000 ____D C:\ProgramData\UBar
2015-09-07 18:17 - 2015-09-07 18:21 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
2015-09-07 18:17 - 2015-09-07 18:17 - 00000000 __SHD C:\Users\Dasboot\AppData\Roaming\AnyProtectEx
2015-09-07 18:17 - 2015-09-07 18:17 - 00000000 ____D C:\Users\Dasboot\AppData\Roaming\Genieo
2015-09-07 18:17 - 2015-09-07 18:17 - 00000000 ____D C:\Users\Dasboot\AppData\LocalLow\Goobzo
2015-09-07 18:15 - 2015-09-26 12:11 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-07 18:15 - 2015-09-26 12:11 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-07 18:15 - 2015-09-07 18:21 - 00000000 ____D C:\Users\Все пользователи\SWdsManProS
2015-09-07 18:15 - 2015-09-07 18:21 - 00000000 ____D C:\ProgramData\SWdsManProS
2015-09-07 18:14 - 2015-09-07 18:21 - 00000000 ____D C:\Users\Dasboot\AppData\Roaming\cpuminer
2015-09-07 18:14 - 2015-09-07 18:21 - 00000000 ____D C:\Users\Dasboot\AppData\Local\gmsd_ru_005010082
2015-09-07 18:14 - 2015-09-07 18:14 - 00000008 _____ C:\END
2015-09-07 18:13 - 2015-09-07 18:13 - 00000000 ____D C:\Users\Dasboot\AppData\Local\Crossbrowse
2015-09-07 16:47 - 2015-09-26 11:40 - 00000000 ____D C:\Users\Dasboot\AppData\Local\Kometa
2015-09-07 16:46 - 2015-10-21 22:11 - 00000000 ____D C:\Users\Dasboot\AppData\Local\03DE0294-1441644373-056A-3406-990700080009
2015-09-07 16:43 - 2015-09-07 18:24 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Torrentex
2015-09-07 16:43 - 2015-09-07 18:23 - 00000000 ____D C:\Users\Dasboot\AppData\Roaming\Torrentex
2015-09-05 23:36 - 2015-09-05 23:36 - 01406272 _____ C:\Windows\system32\cpm.exe
2015-09-05 23:30 - 2015-09-05 23:30 - 00000226 _____ C:\Windows\system32\cpuminer-conf.json
2015-10-20 08:46 - 2015-10-20 12:33 - 0000080 _____ () C:\Program Files (x86)\SWTLDUSFOL.QIC
FirewallRules: [TCP Query User{C2CF2475-FB2B-46EB-9887-07DD0964A82B}C:\users\dasboot\downloads\50miner\50miner\miners\cgminer\cgminer.exe] => (Allow) C:\users\dasboot\downloads\50miner\50miner\miners\cgminer\cgminer.exe
FirewallRules: [UDP Query User{DF80007E-E19D-4A53-9C43-77761305464A}C:\users\dasboot\downloads\50miner\50miner\miners\cgminer\cgminer.exe] => (Allow) C:\users\dasboot\downloads\50miner\50miner\miners\cgminer\cgminer.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...