Перейти к содержанию

Зашифровались файлы


Рекомендуемые сообщения

На рабочем столе "внимание все важные файлы на всех дисках были зашифрованы"
расширение .BREAKING_BAD
Помогите пожалуйста.

CollectionLog-2015.11.20-23.11.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_171] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1706659960-4072188809-217383331-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hppp&ts=1426849320&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.baisvik.com?sourceid=ie&type=home&partner=default
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hppp&ts=1426849320&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.baisvik.com?sourceid=ie&type=home&partner=default
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
HKU\S-1-5-21-1706659960-4072188809-217383331-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
HKU\S-1-5-21-1706659960-4072188809-217383331-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=dspp&ts=1426849320&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
HKU\S-1-5-21-1706659960-4072188809-217383331-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.baisvik.com?sourceid=ie&type=home&partner=default
HKU\S-1-5-21-1706659960-4072188809-217383331-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {A18DC559-57F6-470F-8A50-4B4EB906B0CD} URL = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
SearchScopes: HKLM-x32 -> {A18DC559-57F6-470F-8A50-4B4EB906B0CD} URL = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> DefaultScope {A18DC559-57F6-470F-8A50-4B4EB906B0CD} URL = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> B14E7EFE75B4720C353C7A414DB5B5A8 URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {A18DC559-57F6-470F-8A50-4B4EB906B0CD} URL = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S
S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]
S1 {6571ba1e-bf60-4c34-b63c-0a34e3f9dfbd}Gw64; system32\drivers\{6571ba1e-bf60-4c34-b63c-0a34e3f9dfbd}Gw64.sys [X]
2015-11-19 16:42 - 2015-11-19 17:13 - 00000000 ____D C:\Users\Анастасия\AppData\Local\Osics
2015-11-19 16:41 - 2015-11-19 17:13 - 00000000 ____D C:\Users\Анастасия\AppData\Local\AQworks
2015-11-19 16:40 - 2015-11-19 16:40 - 03148854 _____ C:\Users\Анастасия\AppData\Roaming\C071CB1AC071CB1A.bmp
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README9.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README8.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README7.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README6.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README5.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README4.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README3.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README2.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README10.txt
C:\Users\Анастасия\AppData\Local\Temp\amigo_setup.exe
ShortcutWithArgument: C:\Users\Анастасия\Desktop\Yandex.lnk -> C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) ->  hxxp://search.baisvik.com/?sourceid=yandex&type=startp&partner=default <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137257923 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137257727 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk -> C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) ->  hxxp://search.baisvik.com/?sourceid=yandex&type=startp&partner=default <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk -> C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) ->  hxxp://search.baisvik.com/?sourceid=yandex&type=startp&partner=default <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137257923 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137257727 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk -> C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) ->  hxxp://search.baisvik.com/?sourceid=yandex&type=startp&partner=default <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Local\Microsoft\Windows\Application Shortcuts\Amigo.FJEHH76GT6D4AYFUP4VE4TCNIM\Яндекс.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> hxxp://www.yandex.ru/?win=168&clid=1985546-205 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Local\Microsoft\Windows\Application Shortcuts\Amigo.FJEHH76GT6D4AYFUP4VE4TCNIM\Яндекс.Почта.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> hxxp://mail.yandex.ru/?win=168&clid=1985546-205&from=dist_tl <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {CBCC1B3E-FBD7-4457-8428-0AD1B6F7EA40} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {8A027481-0FBB-41C6-B2D8-AA4F89C29B50} - \Baisvik\Baisvik Disk Cleaner\Start Baisvik Disk Cleaner on user logon into Windows. -> No File <==== ATTENTION
Task: {5695EDC2-F57D-4826-AE4C-01F733400C3F} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {3D7D7CC4-11D4-4ABC-BA40-1F8BEA347855} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {1D893092-F28C-4AAD-9070-E486EB9F054E} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Анастасия\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...