Перейти к содержанию

Ваши файлы были зашифрованны

IMANHATEP
 Поделиться

Рекомендуемые сообщения

IMANHATEP

IMANHATEP

Опубликовано
Опубликовано (изменено)

Добрый день.

После заражения черный экран, пишет ваши файлы были зашифрованы, все файлы стали с расширением .breaking_bad

перепробовал кучу способов  ничего не помогает.

Откат не возможен  , не в обычном не в безопасном режиме, пропали точки восстановления

прилагаю скрин рабочего стола и установленного антивируса 

это несколько файлов зараженных в обменнике

https://dropmefiles.com/urVmg

 

post-36520-0-98267400-1448584237_thumb.png

post-36520-0-29672400-1448584243_thumb.png

CollectionLog-2015.11.27-05.11.zip

Изменено пользователем IMANHATEP
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

 QuarantineFile('C:\Users\Lenovo\AppData\Local\IVNsoft\TcpApiLibs.dll','');

 QuarantineFile('C:\Users\Lenovo\AppData\Local\Odics\svrctrlMusic24.dll','');

 QuarantineFile('C:\Users\Lenovo\AppData\Local\IVNsoft\A457E89A.exe','');

 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');

 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');

 DeleteFile('C:\Users\Lenovo\AppData\Local\IVNsoft\A457E89A.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IVNsoft','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');

 DeleteFile('C:\Users\Lenovo\AppData\Local\Odics\svrctrlMusic24.dll','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Odics','command');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Upmedia','command');

 DeleteFile('C:\Users\Lenovo\AppData\Local\IVNsoft\TcpApiLibs.dll','32');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Смените все пароли

 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты
IMANHATEP

IMANHATEP

Опубликовано
  • Автор
Опубликовано (изменено)

ребят как понял новый сбор логером делать после того, как ответят с newvirus@kaspersky.com

или прям сейчас

и по поводу пофиксить, в инструкции указанно укажите строки, а какие именно ставить, или опять таки позже 

то что вы написали сделал и отослал

и вот пришло письмо

Re: Запрос на исследование вредоносного файла [KLAN-3398164387

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

В присланном Вами письме не обнаружены вложенные файлы. Если Вы их отправляли, возможно, они были вырезаны антивирусом во время доставки. В таком случае, пожалуйста, вышлите экземпляры повторно, поместив их в архив с паролем infected.

С уважением, Лаборатория Касперского

у меня вроде все отправлено и касперский не ругнулся

Изменено пользователем IMANHATEP
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-3873001402-3271944274-3806578644-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

HKU\S-1-5-21-3873001402-3271944274-3806578644-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text={searchTerms}

SearchScopes: HKU\S-1-5-21-3873001402-3271944274-3806578644-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=460d5b27ae33224f9eafd8d503beed30&text=

CHR Extension: (Стартовая — Яндекс) - C:\Users\Lenovo\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2015-08-30]

CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx

OPR Extension: (Dolka.ru) - C:\Users\Lenovo\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-06-16]

2015-11-19 23:20 - 2015-11-30 04:09 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Odics

2015-11-19 23:20 - 2015-11-27 03:41 - 00000000 ____D C:\Users\Lenovo\AppData\Local\IVNsoft

2015-11-19 23:17 - 2015-11-19 23:17 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\C46865E4C46865E4.bmp

2015-11-19 22:29 - 2015-11-23 17:11 - 00000000 __SHD C:\Users\Все пользователи\Windows

2015-11-19 22:29 - 2015-11-23 17:11 - 00000000 __SHD C:\ProgramData\Windows

ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://poisk-googlee.ru"  <==== ATTENTION

ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://poisk-googlee.ru"  <==== ATTENTION



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.

 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

 

В п.5 предоставьте:

 

1. Файл Readme.txt

2. Несколько зашифрованных файлов в архиве.

Ссылка на комментарий
Поделиться на другие сайты
IMANHATEP

IMANHATEP

Опубликовано
  • Автор
Опубликовано (изменено)

это который после заражения появился , с описанием типа кому что заплатить, верно?

вот этот

README1.txt

Изменено пользователем IMANHATEP
Ссылка на комментарий
Поделиться на другие сайты
IMANHATEP

IMANHATEP

Опубликовано
  • Автор
Опубликовано

уточнил а то мало ли )) тут столько операций нужно было сделать )) что может еще куда что то припрятолось)) их на рабочем столе штук 20 ))


и еще прошу прощения по той ссылке как создавать , запрос вошел , пытаюсь посмотреть изображения , в пояснении как писать обращение , она меня отпинывает и пишет , несмотря на то что я авторизован и так не нашел где коды прикреплять, как раз по этой причине

У Вас нет прав на использование данной функции. Возможно, что Вы не вошли под своим именем пользователя. Если это так, пожалуйста, сделайте это.


все это решил и понял , что все эти коды совсем в другом месте , вот только там нужно буквенный код вносить а у меня файловый , он жесть короче , а не трабл


пи... ц там нет моего продукта при обращении , это корпоративная версия...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • KL FC Bot
      Как отключить доступ Gemini к вашим данным на Android | Блог Касперского
      Автор KL FC Bot
      7 июля 2025 года Google выпустила обновление Gemini, которое дает AI-помощнику доступ к приложениям Phone, Messages, WhatsApp и Utilities на Android-устройствах. Компания анонсировала это событие e-mail-рассылкой пользователям своего чат-бота, которых просто поставили перед фактом: «Мы упростили взаимодействие Gemini с вашим устройством… Gemini скоро сможет помочь вам использовать «Телефон», «Сообщения», WhatsApp и «Утилиты» на вашем телефоне, независимо от того, включена ли ваша активность приложений Gemini или нет».
      С точки зрения Google, обновление улучшает приватность, поскольку теперь пользователям доступны функции Gemini без необходимости включать Gemini Apps Activity. Удобно, не правда ли?
       
      View the full article
    • Evgeniy Alekseevich
      Файлы зашифрованы, расширение файлов helpo2, как расшифровать ?
      Автор Evgeniy Alekseevich
      05 августа , судя по датам файлов, на нашем сервере был запущен шифровальщик, кем и как пока выясняем, но сегодня утром я обнаружил зашифрованы практически все файлы.
      Файлы имеют расширение helpo2.
      Может кто сталкивался и сможет помочь ?
      Связались с вымогателями, они для примера расшифровали два файла, я вложил в архив два зашифрованных и они же расшифрованные . Там же письмо, которое они оставили.
      Также прикладываю файлы от  Farbar Recovery Scan Tool.
      Может кто сможет помочь....
      С Уважением, Евгений.
       
       
      Addition.txt FRST.txt НаборФайлов5шт.zip
    • Денис А
      Все файлы зашифрованы шифровальщиком
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • Defa1t
      ШИФРУЕТ ФАЙЛЫ 9F2B
      Автор Defa1t
      Обратился коллега с зашифрованными файлами 9F2B, при открытии файлов через блокнот открывается лист с вымогателем
      Addition.txt FRST.txt Файлы 9F2B.zip
×
×
  • Создать...