Перейти к содержанию

Шифровальщик. Помощь

Popay
 Поделиться

Рекомендуемые сообщения

Popay

Popay

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Начните со стандартных логов:

Порядок оформления запроса о помощи

Я же прикрепил логи. Что еще требуется сделать?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{789DB09C-38AE-4BAC-98CB-54BBFBE3A707}: [NameServer] 0.0.0.0 0.0.0.0
Tcpip\..\Interfaces\{D0EE8777-89F9-43F4-9623-4F6D6A0CF41B}: [NameServer] 0.0.0.0 0.0.0.0
Tcpip\..\Interfaces\{D6D9B1B4-E11F-4C93-A964-A083D3938601}: [NameServer] 0.0.0.0 0.0.0.0
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> DefaultScope {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
BHO: NOW!Imaging -> {9AA2F14F-E956-44B8-8694-A5B615CDF341} -> C:\Program Files\ONSPEED\components\NOWImaging.dll => No File
Toolbar: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> No Name - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} -  No File
2015-12-08 18:58 - 2015-12-08 18:58 - 03148854 _____ C:\Users\Евроазия\AppData\Roaming\78EB05FE78EB05FE.bmp
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README9.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README8.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README7.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README6.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README5.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README4.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README3.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README2.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README10.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README1.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README9.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README8.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README7.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README6.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README5.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README4.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README3.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README2.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README10.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README1.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README9.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README8.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README7.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README6.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README5.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README4.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README3.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README2.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README10.txt
2015-12-08 17:30 - 2015-12-10 12:06 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-12-08 17:30 - 2015-12-10 12:06 - 00000000 __SHD C:\ProgramData\Windows
CustomCLSID: HKU\S-1-5-21-682233668-1453596577-3102257296-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Евроазия\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-682233668-1453596577-3102257296-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Евроазия\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
AlternateDataStreams: C:\ProgramData\TEMP:44504F07
AlternateDataStreams: C:\Users\Все пользователи\TEMP:44504F07
AlternateDataStreams: C:\Users\Евроазия\Local Settings:wa
AlternateDataStreams: C:\Users\Евроазия\AppData\Local:wa
AlternateDataStreams: C:\Users\Евроазия\AppData\Local\Application Data:wa
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Popay

Popay

Опубликовано
  • Автор
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст





CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{789DB09C-38AE-4BAC-98CB-54BBFBE3A707}: [NameServer] 0.0.0.0 0.0.0.0
Tcpip\..\Interfaces\{D0EE8777-89F9-43F4-9623-4F6D6A0CF41B}: [NameServer] 0.0.0.0 0.0.0.0
Tcpip\..\Interfaces\{D6D9B1B4-E11F-4C93-A964-A083D3938601}: [NameServer] 0.0.0.0 0.0.0.0
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> DefaultScope {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
BHO: NOW!Imaging -> {9AA2F14F-E956-44B8-8694-A5B615CDF341} -> C:\Program Files\ONSPEED\components\NOWImaging.dll => No File
Toolbar: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> No Name - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} -  No File
2015-12-08 18:58 - 2015-12-08 18:58 - 03148854 _____ C:\Users\Евроазия\AppData\Roaming\78EB05FE78EB05FE.bmp
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README9.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README8.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README7.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README6.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README5.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README4.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README3.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README2.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README10.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README1.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README9.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README8.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README7.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README6.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README5.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README4.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README3.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README2.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README10.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README1.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README9.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README8.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README7.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README6.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README5.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README4.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README3.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README2.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README10.txt
2015-12-08 17:30 - 2015-12-10 12:06 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-12-08 17:30 - 2015-12-10 12:06 - 00000000 __SHD C:\ProgramData\Windows
CustomCLSID: HKU\S-1-5-21-682233668-1453596577-3102257296-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Евроазия\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-682233668-1453596577-3102257296-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Евроазия\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
AlternateDataStreams: C:\ProgramData\TEMP:44504F07
AlternateDataStreams: C:\Users\Все пользователи\TEMP:44504F07
AlternateDataStreams: C:\Users\Евроазия\Local Settings:wa
AlternateDataStreams: C:\Users\Евроазия\AppData\Local:wa
AlternateDataStreams: C:\Users\Евроазия\AppData\Local\Application Data:wa
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • itz
      Помощь с определением шифровальщика
      Автор itz
      Добрый день, помогите пожалуйста с определением типа шифровальщика и возможности расшифровать данные файлы. Прилагаю несколько файлов в архиве и записку с требованиями
      bNch5yfLR.README.txt шифровальщик.rar
    • Роман Суслов
      Прошу помощи в восстановлении данных после шифровальщика KREMLIN
      Автор Роман Суслов
      Добрый день! В результате RDP атаки была зашифрована система. Все файлы стали с расширением KREMLIN.
      После перезагрузки система мертва, т.к. зашифрованы и системные файлы тоже. 
      Нашел некий cryptor.exe на рабочем столе.
      Во вложении: письмо требование, пример зашифрованного файла и его незашифрованная версия, cryptor.exe в архиве (пароль virus).
       
      Письмо требование:
      ID: 3TpvNLVFm8BEBn58soumz8cf2sz2dzWN 
       Need restore files? Contact us in telegram(desktop.telegram.org) - @KremlinRestore
       
       
      README.txt cryptor.zip зашифрованный файл.zip
      Исходный файл для сравнения, не влез в тему.
      исходник.zip
    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • PsuchO
      Поймал шифровальщик X77C, лёг весь прод, слёзно прошу помощи
      Автор PsuchO
      Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась.
      В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd
      Плюсом к этому в каждой папке лежал тектовик со следующим описанием
       
      Открыл зашифрованный ps1 скрипт и вот что внутри
       
      Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает.
      Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи.
      Прикладываю зашифрованный файл
      Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip
×
×
  • Создать...