Перейти к содержанию

Зашифровались файлы

DarthNero
 Share

Рекомендуемые сообщения

DarthNero Новичок

DarthNero

Опубликовано
Опубликовано

На рабочем столе "внимание все важные файлы на всех дисках были зашифрованы"
расширение .BREAKING_BAD
Помогите пожалуйста.

CollectionLog-2015.11.20-23.11.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_171] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1706659960-4072188809-217383331-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hppp&ts=1426849320&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.baisvik.com?sourceid=ie&type=home&partner=default
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hppp&ts=1426849320&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.baisvik.com?sourceid=ie&type=home&partner=default
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
HKU\S-1-5-21-1706659960-4072188809-217383331-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
HKU\S-1-5-21-1706659960-4072188809-217383331-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=dspp&ts=1426849320&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
HKU\S-1-5-21-1706659960-4072188809-217383331-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://search.baisvik.com?sourceid=ie&type=home&partner=default
HKU\S-1-5-21-1706659960-4072188809-217383331-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {A18DC559-57F6-470F-8A50-4B4EB906B0CD} URL = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&q={searchTerms}
SearchScopes: HKLM-x32 -> {A18DC559-57F6-470F-8A50-4B4EB906B0CD} URL = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> DefaultScope {A18DC559-57F6-470F-8A50-4B4EB906B0CD} URL = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> B14E7EFE75B4720C353C7A414DB5B5A8 URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {A18DC559-57F6-470F-8A50-4B4EB906B0CD} URL = hxxp://search.baisvik.com/results?q={searchTerms}&sourceid=ie&type=omni&partner=default
SearchScopes: HKU\S-1-5-21-1706659960-4072188809-217383331-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.mystartsearch.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S&ts=1426849326&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1426849290&from=cmi&uid=TOSHIBAXMK6475GSX_327BS698SXX327BS698S
S1 qrnfd_1_10_0_9; system32\drivers\qrnfd_1_10_0_9.sys [X]
S1 {6571ba1e-bf60-4c34-b63c-0a34e3f9dfbd}Gw64; system32\drivers\{6571ba1e-bf60-4c34-b63c-0a34e3f9dfbd}Gw64.sys [X]
2015-11-19 16:42 - 2015-11-19 17:13 - 00000000 ____D C:\Users\Анастасия\AppData\Local\Osics
2015-11-19 16:41 - 2015-11-19 17:13 - 00000000 ____D C:\Users\Анастасия\AppData\Local\AQworks
2015-11-19 16:40 - 2015-11-19 16:40 - 03148854 _____ C:\Users\Анастасия\AppData\Roaming\C071CB1AC071CB1A.bmp
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README9.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README8.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README7.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README6.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README5.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README4.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README3.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README2.txt
2015-11-19 16:40 - 2015-11-19 16:40 - 00000839 _____ C:\Users\Анастасия\Desktop\README10.txt
C:\Users\Анастасия\AppData\Local\Temp\amigo_setup.exe
ShortcutWithArgument: C:\Users\Анастасия\Desktop\Yandex.lnk -> C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) ->  hxxp://search.baisvik.com/?sourceid=yandex&type=startp&partner=default <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137257923 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137257727 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk -> C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) ->  hxxp://search.baisvik.com/?sourceid=yandex&type=startp&partner=default <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk -> C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) ->  hxxp://search.baisvik.com/?sourceid=yandex&type=startp&partner=default <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137257923 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137257727 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk -> C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\Application\browser.exe (YANDEX LLC) ->  hxxp://search.baisvik.com/?sourceid=yandex&type=startp&partner=default <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Local\Microsoft\Windows\Application Shortcuts\Amigo.FJEHH76GT6D4AYFUP4VE4TCNIM\Яндекс.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> hxxp://www.yandex.ru/?win=168&clid=1985546-205 <==== ATTENTION
ShortcutWithArgument: C:\Users\Анастасия\AppData\Local\Microsoft\Windows\Application Shortcuts\Amigo.FJEHH76GT6D4AYFUP4VE4TCNIM\Яндекс.Почта.lnk -> C:\Users\Анастасия\AppData\Local\Amigo\Application\amigo.exe (Mail.Ru) -> hxxp://mail.yandex.ru/?win=168&clid=1985546-205&from=dist_tl <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {CBCC1B3E-FBD7-4457-8428-0AD1B6F7EA40} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {8A027481-0FBB-41C6-B2D8-AA4F89C29B50} - \Baisvik\Baisvik Disk Cleaner\Start Baisvik Disk Cleaner on user logon into Windows. -> No File <==== ATTENTION
Task: {5695EDC2-F57D-4826-AE4C-01F733400C3F} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {3D7D7CC4-11D4-4ABC-BA40-1F8BEA347855} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe <==== ATTENTION
Task: {1D893092-F28C-4AAD-9070-E486EB9F054E} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Анастасия\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
Reboot:

2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Максим Ivanov
      Файлы были зашифрованы .want_to_cry
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • Azward
      Зашифровались файлы hop_dec
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      Зашифрованы файлы с расширением .mammn
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
    • Jutr
      Зашифрованы файлы [king_ransom1@mailfence.com].king
      От Jutr
      FRST.txtAddition.txt#Read-for-recovery.txtDes.zip
      Добрый день! Словили шифровальщика все файлы с расширением [king_ransom1@mailfence.com].king, подскажите пожалуйста, как-то можно расшифровать?
    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
×
×
  • Создать...