Перейти к содержанию

Зашифрованы все файлы в формат .cbf. от iizomer@aol.com


Рекомендуемые сообщения

Здравствуйте! При обычной работе с почтовой программой Bat и обработке почтовых писем в один момент все файлы превратились в формат .cbf и через часа два на рабочем столе образовалась надпись "Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почтуiizomer@aol.com ..."

Все файлы зашифрованы и переименованы в "email-iizomer@aol.com.ver-CL 1.2.0.0.id-OOPQRSSSTUVVWXXXYZAABBCCDEFFGGHHIJKK-02.11.2015 14@07@511428102.randomname-PQQRCCDDEFFGHHHIJKKLMMMNOOPQQQ.SST"
Что делать и как быть? Очень нужно восстановить документы.

Прошу о помощи.

CollectionLog-2015.11.05-16.32.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CloseProcesses:
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
2015-11-02 14:07 - 2015-11-02 17:56 - 00000081 _____ C:\Program Files (x86)\GXEUYKMPEU.YYA
2015-11-02 14:07 - 2015-11-02 14:07 - 00000000 ____D C:\Program Files (x86)\MKV Archive
2015-11-02 17:56 - 2015-11-02 17:56 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
2015-11-02 17:56 - 2015-11-02 17:56 - 0149043 _____ () C:\Program Files (x86)\desk.jpg
2015-11-02 14:07 - 2015-11-02 17:56 - 0000081 _____ () C:\Program Files (x86)\GXEUYKMPEU.YYA
2014-02-10 16:38 - 2014-02-14 08:36 - 0000089 _____ () C:\Users\Admin\AppData\Roaming\WB.CFG
Task: {07D8C652-4A91-4CC1-BF92-BD406F756959} - \SaveSenseLiveUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {D0D1038B-7CD6-48C7-991F-627AED8FCCAD} - \SaveSenseLiveUpdateTaskMachineUA -> No File <==== ATTENTION
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pr]
Folder: C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты

Очень жаль.

Могу ли я пользоваться дальше этим компьютером?

Или данный вирус может снова активизироваться и опять "убить" все файлы?

Ссылка на комментарий
Поделиться на другие сайты

Вируса нет.
 
Для проверки уязвимого софта:

  • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17358 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен

^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^


--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.11 (64-разрядная) v.5.11.0 Внимание! Скачать обновления

7-Zip 9.22 (x64 edition) v.9.22.00.0

Microsoft Silverlight v.5.1.30514.0 Внимание! Скачать обновления

TeamViewer 9 v.9.0.41110 Внимание! Скачать обновления

^Необязательное обновление.^


--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 5 (64-bit) v.8.0.50 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u66-windows-x64.exe)^

Java SE Development Kit 8 Update 5 (64-bit) v.8.0.50 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u66-windows-x64.exe)^


------------------------------- [ Browser ] -------------------------------

Google Chrome v.46.0.2490.80

Mozilla Firefox 41.0.2 (x86 ru) v.41.0.2 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

----------------------------- [ EmailClient ] -----------------------------

The Bat! v6.6 Русская Версия v.6.6 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------

SaveSense v.6.4.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Skype Click to Call v.7.5.0.9082 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

 

 

SaveSense попробуйте удалить через Панель управления - Удаление программ.

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 




Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • zoic
      От zoic
      Добрый день! 
      можно ли что-то сделать? 
       
      Добралась до моего рабочего компьютера какая-то "гадость".
      Зашифровала все файлы.
      Написал на указанные адреса, пришел ответ ниже на англ. Прибыльный у них бизнес...)
      Система запускается, но все рабочие файлы и программы "похерены" (((( 
       
      Hello,
      The price for the recovery of your files is (2500 $).
      the payment should be make in BTC

      2500 $ includes the following items:

      1) you will receive the decryption tool and its usage guide,
      2) we will delete all the data we have downloaded from your system,
      3) We will teach you how to secure your system from other ransomware attack,
      4) We will teach your system vulnerabilities tn order to fix them.
       
      your decryption key is ready.

      If the ransom is not paid, the information will be made public on internet.
       
      FRST64_логи.zip требования+файлы.zip
    • Ivromann
      От Ivromann
      Доброго времени суток. Помогите, пожалуйста. По неизвестной причине происходит блокировка загрузки файлов из всех браузеров. 
      CollectionLog-2023.02.04-14.48.zip
    • Slog_gkh
      От Slog_gkh
      Зашифровали все данные на двух серверах.
      vir.zip Addition.txt FRST.txt
    • IDler
      От IDler
      Друзья, добрый день!
      Достаточно давно поймали вирус (судя по дате файлов, февраль 2019), после чего сказать сложно. Файлы так и лежали зашифрованными, решили попытать удачу и попробовать найти решение проблемы.
      Переустановки ОС не было. Как объясняет получатель данного вируса, никаких окон блокировок не было, что удивительно. Просто в какой-то момент захотели просмотреть фоточки - однако увы.
      Заранее благодарен.
      Запрос о помощи оформляю впервые, надеюсь без ошибок. 
      Addition.txt FRST.txt kaspersky запрос.zip
    • Miqueza
      От Miqueza
      Добрый день!
       
      Помогите пожалуйста. Имена файлов сменились на это: "After Effects.lnk.secure[milleni5000@qq.com]".
       
      Как вернуть обратно?

      На диске С появился документ: "RESTORE_FILES_INFO"
       
      Содержит след. инфу:
       
      Your files are secured... Write to this email with your Key Identifier: milleni5000@qq.com Key Identifier: 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 Number of files that were processed is: 276600  
      Проверил AVZ:
       
      Протокол утилиты AVZ версии 5.50 Сканирование запущено в 17.03.2021 10:00:13 Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 05.03.2021 04:00 Загружены микропрограммы эвристики: 404 Загружены микропрограммы ИПУ: 10 Загружены цифровые подписи системных файлов: 1195561 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 10.0.19042, "Windows 10 Pro" (Windows 10 Pro) x64, дата инсталляции 15.11.2020 23:35:37 ; AVZ работает с правами администратора (+) Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Анализ ntdll.dll, таблица экспорта найдена в секции .text Анализ user32.dll, таблица экспорта найдена в секции .text Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 2. Проверка памяти Количество найденных процессов: 188 Количество загруженных модулей: 360 Проверка памяти завершена 3. Сканирование дисков Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\06ae21f6-6c91-479e-a6b5-1df8ab21d7f2.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\0889ba8a-1464-4db7-b1c8-51a1e6610981.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\19fed871-304c-4240-8236-db6ca170f75f.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\1a15d823-bef1-4e01-bf6b-3bbe016bce40.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\2f88d172-2a53-486f-985d-1c97a2c85445.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\2f90f84c-9fc5-47bd-a650-4e393cb36cc0.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\3c570bc6-e843-4dbb-8efc-4960ed125890.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\6ace7528-baf3-4c12-8eb5-59759d9db1c4.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\7a055c71-3994-4f67-94b9-b5caa43c6134.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\7f30e013-be7f-445a-a7c3-1240b3d64058.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\902eabf4-be69-412f-acfe-2f45ac43d9d4.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\90bf3e25-e7d0-41f2-96eb-37b7d640a183.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\a6c8469c-438d-4f69-94f5-5d4c10cf3d11.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\c1b6144e-36b1-438a-91ad-be50ede7f614.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\d0ce9301-561c-41f2-b86f-03314595abe2.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\db02bd7a-8d71-4d18-9065-d3b2a69074cc.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\db89599f-ec38-4afa-9c14-7c83eaf9d4cf.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\e1034dcd-951f-4501-9d5a-ef873306bdbe.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\e296bd3f-94dd-4963-8551-ca00e92c6a30.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\f9b5e172-855d-4ec1-ae1f-98a630b89652.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\fa019844-6bde-43ff-bc8f-be33e6ed6464.tmp Прямое чтение C:\Users\DANIIL\AppData\Local\Temp\fcc1bbd4-db74-4ed0-afec-b2e3792e5c34.tmp 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы >>> C:\Windows\aact_tools\aact.exe ЭПС: подозрение на Файл с подозрительным именем (CH) Проверка завершена 8. Поиск потенциальных уязвимостей >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помощнику >> Проводник - включить отображение расширений для файлов известных системе типов Проверка завершена 9. Мастер поиска и устранения проблем >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 104321, извлечено из архивов: 4283, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 17.03.2021 10:03:50 Сканирование длилось 00:03:38  
      До этого правда удалось cureit запустить, вот что он почистил: https://yadi.sk/i/Nvv8_HKkCFw-VQ (скриншот)
       
      Купил Касперский, он не запускает установщик.
       
      Прочитал и дополнительно высылаю еще файлы FRST: 
      Addition.txt FRST.txt Shortcut.txt
×
×
  • Создать...