Перейти к содержанию

Шифровальщик. Помощь

Popay
 Share

Рекомендуемые сообщения

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{789DB09C-38AE-4BAC-98CB-54BBFBE3A707}: [NameServer] 0.0.0.0 0.0.0.0
Tcpip\..\Interfaces\{D0EE8777-89F9-43F4-9623-4F6D6A0CF41B}: [NameServer] 0.0.0.0 0.0.0.0
Tcpip\..\Interfaces\{D6D9B1B4-E11F-4C93-A964-A083D3938601}: [NameServer] 0.0.0.0 0.0.0.0
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> DefaultScope {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
BHO: NOW!Imaging -> {9AA2F14F-E956-44B8-8694-A5B615CDF341} -> C:\Program Files\ONSPEED\components\NOWImaging.dll => No File
Toolbar: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> No Name - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} -  No File
2015-12-08 18:58 - 2015-12-08 18:58 - 03148854 _____ C:\Users\Евроазия\AppData\Roaming\78EB05FE78EB05FE.bmp
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README9.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README8.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README7.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README6.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README5.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README4.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README3.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README2.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README10.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README1.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README9.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README8.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README7.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README6.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README5.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README4.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README3.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README2.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README10.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README1.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README9.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README8.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README7.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README6.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README5.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README4.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README3.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README2.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README10.txt
2015-12-08 17:30 - 2015-12-10 12:06 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-12-08 17:30 - 2015-12-10 12:06 - 00000000 __SHD C:\ProgramData\Windows
CustomCLSID: HKU\S-1-5-21-682233668-1453596577-3102257296-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Евроазия\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-682233668-1453596577-3102257296-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Евроазия\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
AlternateDataStreams: C:\ProgramData\TEMP:44504F07
AlternateDataStreams: C:\Users\Все пользователи\TEMP:44504F07
AlternateDataStreams: C:\Users\Евроазия\Local Settings:wa
AlternateDataStreams: C:\Users\Евроазия\AppData\Local:wa
AlternateDataStreams: C:\Users\Евроазия\AppData\Local\Application Data:wa
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
Popay Новичок

Popay

Опубликовано
  • Автор
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст





CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{789DB09C-38AE-4BAC-98CB-54BBFBE3A707}: [NameServer] 0.0.0.0 0.0.0.0
Tcpip\..\Interfaces\{D0EE8777-89F9-43F4-9623-4F6D6A0CF41B}: [NameServer] 0.0.0.0 0.0.0.0
Tcpip\..\Interfaces\{D6D9B1B4-E11F-4C93-A964-A083D3938601}: [NameServer] 0.0.0.0 0.0.0.0
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://webalta.ru/search
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://webalta.ru/search
HKU\S-1-5-21-682233668-1453596577-3102257296-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://webalta.ru/search
SearchScopes: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> DefaultScope {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
BHO: NOW!Imaging -> {9AA2F14F-E956-44B8-8694-A5B615CDF341} -> C:\Program Files\ONSPEED\components\NOWImaging.dll => No File
Toolbar: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-682233668-1453596577-3102257296-1000 -> No Name - {8B79EE88-E62D-4AA8-B530-CC357BA112B7} -  No File
2015-12-08 18:58 - 2015-12-08 18:58 - 03148854 _____ C:\Users\Евроазия\AppData\Roaming\78EB05FE78EB05FE.bmp
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README9.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README8.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README7.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README6.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README5.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README4.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README3.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README2.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README10.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Евроазия\Desktop\README1.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README9.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README8.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README7.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README6.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README5.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README4.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README3.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README2.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README10.txt
2015-12-08 18:58 - 2015-12-08 18:58 - 00000839 _____ C:\Users\Public\Desktop\README1.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README9.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README8.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README7.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README6.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README5.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README4.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README3.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README2.txt
2015-12-08 17:31 - 2015-12-08 17:31 - 00000839 _____ C:\README10.txt
2015-12-08 17:30 - 2015-12-10 12:06 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-12-08 17:30 - 2015-12-10 12:06 - 00000000 __SHD C:\ProgramData\Windows
CustomCLSID: HKU\S-1-5-21-682233668-1453596577-3102257296-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Евроазия\AppData\Local\Google\Update\1.3.28.13\psuser.dll => No File
CustomCLSID: HKU\S-1-5-21-682233668-1453596577-3102257296-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Евроазия\AppData\Local\Google\Update\1.3.28.15\psuser.dll => No File
AlternateDataStreams: C:\ProgramData\TEMP:44504F07
AlternateDataStreams: C:\Users\Все пользователи\TEMP:44504F07
AlternateDataStreams: C:\Users\Евроазия\Local Settings:wa
AlternateDataStreams: C:\Users\Евроазия\AppData\Local:wa
AlternateDataStreams: C:\Users\Евроазия\AppData\Local\Application Data:wa
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • AJIEKCAHDP
      Нужна помощь, Шифровальщик cyberfear
      От AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • Дмитрий71
      Шифровальщик AZOT прошу помощи
      От Дмитрий71
      Шифровальщик AZOT зашифровал сервер 1с и просит денег. Подскажите, существуют ли варианты решения или всё в топку?( 
      в каталоге C:\DEC лежит как предполагаю декриптор 8772-decrypter.rar с паролем 
      Addition.txt FRST.txt
    • Zubarev211
      Зашифровали данные компьютера с помощью шифровальщика Xorist
      От Zubarev211
      Добрый день, поймали шифровальщик Xorist, зашифровали все файлы расширением *.er. Нужно было восстановить базу данных 1С. Из теневой папки получилось восстановить 1CD8.1CD
      Указанный файл не был зашифрован расширением .er, но при запуске выдавало ошибку о повреждении данных.

      Так же пытались вашим декриптором использовали пару 2х файлов, но так же получали ошибку(пробовали на документах ворд)

      Подскажите пожалуйста какие дальнейшие шаги нам нужно сделать, чтобы восстановить базу. Спасибо! 
    • Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      От Excommunicadoo
      Помощь с шифровальщиком на хранилках NAS, расширение .lotus
      Помогите расшифровать(((

      В тхт файле пишут следующее:
       
      If you see this, your files were successfully encrypted.
      We advice you not to search free decryption method.
      It's impossible. We are using symmetrical and asymmetric encryption.
      ATTENTION:
          - Don't rename encrypted files.
          - Don't change encrypted files.
          - Don't use third party software.
      TIME IS RUNNING OUT:
          - The longer you wait, the more money you'll have to pay to get your files back.
            If you wait too long, you'll lose them forever.
      To reach an agreement we offer you to contact with us.
      How to contact with us: 
          * Download Tor Browser:
              Get the Tor Browser from https://torproject.org/download
          * Launch Tor Browser:
                  Open the Tor Browser on your device.
          * Connect to Tor Network:
                  Click "Establish a Connection".
          * Go to this address:
                  Copy and paste address below in the address bar:
    • vasili_rb
      Прошу помощи
      От vasili_rb
      Добрый день.
      Очень нужна помощь. Хватанул какого то трояна скорее всего.
      Не запускаются виртуальные машины в Hyper-V, перестали работать обновления 
      SRVMAIN_2025-02-12_11-59-20_v4.99.8v x64.7z
       
      HyperV восcтановил путем удаления роли и установкой по новому.
×
×
  • Создать...