Перейти к содержанию

И у меня зашифрованы файлы AES256


Рекомендуемые сообщения

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

все сделала

 


Thyrex и mike 1, у меня после загрузки программы Malwareby-Anti с периодичностью 2-5 минут появляется всплывающее окно - 

вредоносный вебсайт заблокирован.

Чаще всего показывает сайт 

С/users/home/AppData/Local/MediaGet2/Mediaget.exe

что с этим делать?

спасибо вам за помощь - и Вам и mike 1

Downloads.rar

Изменено пользователем EIrina
Ссылка на комментарий
Поделиться на другие сайты

у меня после загрузки программы Malwareby-Anti с периодичностью 2-5 минут появляется всплывающее окно

МВАМ всегда неравнодушен к любой сетевой активности. Его уже можно удалить

 

MediaGet удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-242782032-1257921025-3606411223-1000\...\Run: [AdobeBridge] => [X]
CHR Extension: (Переводчик для Chrome 2) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2014-08-18]
CHR Extension: (iSmileg - сделаем интернет ярче!) - C:\Users\home\AppData\Local\Google\Chrome\User Data\Default\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-02-23]
OPR Extension: (Quick Searcher) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-01-10]
OPR Extension: (Переводчик для Chrome 2) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlbjncdgjeocebhnmkbbbdekmmmcbfjd [2014-08-18]
OPR Extension: (iSmileg - сделаем интернет ярче!) - C:\Users\home\AppData\Roaming\Opera Software\Opera Stable\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-02-23]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.yoursearching.com/?type=sc&ts=1452446520&z=020904a0f980358f4fcab73g5zdweo8zez5q8weg3b&from=brd&uid=WDCXWD1003FBYX-01Y7B1_WD-WCAW3682219022190
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\Users\Все пользователи\JeSlsOSWkOML
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\Users\Все пользователи\GKJuqkmGAjvNomN
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\Users\Все пользователи\CauhEHHnlzQ
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\ProgramData\JeSlsOSWkOML
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\ProgramData\GKJuqkmGAjvNomN
2016-01-13 20:31 - 2016-01-13 20:31 - 00000000 ____D C:\ProgramData\CauhEHHnlzQ
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\Users\Все пользователи\thttFqpFUp
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\Users\Все пользователи\fbhoRWuNepxI
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\Users\Все пользователи\cyJhGnrpap
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\ProgramData\thttFqpFUp
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\ProgramData\fbhoRWuNepxI
2016-01-12 00:31 - 2016-01-12 00:31 - 00000000 ____D C:\ProgramData\cyJhGnrpap
2016-01-11 22:23 - 2016-01-11 22:23 - 00002671 _____ C:\Users\Default\Desktop\Амиго.Музыка.lnk
2016-01-11 22:23 - 2016-01-11 22:23 - 00002671 _____ C:\Users\Default User\Desktop\Амиго.Музыка.lnk
2016-01-11 22:23 - 2016-01-11 22:23 - 00000000 ____D C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-01-11 22:23 - 2016-01-11 22:23 - 00000000 ____D C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-01-11 22:19 - 2016-01-15 23:39 - 00002280 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
2016-01-11 22:19 - 2016-01-15 23:39 - 00002280 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
2016-01-11 22:19 - 2016-01-15 23:39 - 00002233 _____ C:\Users\Default\Desktop\Интернет.lnk
2016-01-11 22:19 - 2016-01-15 23:39 - 00002233 _____ C:\Users\Default User\Desktop\Интернет.lnk
2016-01-11 22:19 - 2016-01-11 22:53 - 00000000 ____D C:\Users\Default\AppData\Local\gmsd_ru_005010204
2016-01-11 22:19 - 2016-01-11 22:53 - 00000000 ____D C:\Users\Default User\AppData\Local\gmsd_ru_005010204
2016-01-11 22:19 - 2016-01-11 22:19 - 00002296 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002296 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002296 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002296 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002271 _____ C:\Users\Default\Desktop\Одноклассники.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002271 _____ C:\Users\Default\Desktop\Вконтакте.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002271 _____ C:\Users\Default User\Desktop\Одноклассники.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00002271 _____ C:\Users\Default User\Desktop\Вконтакте.lnk
2016-01-11 22:19 - 2016-01-11 22:19 - 00000000 ____D C:\Users\Default\AppData\Local\Amigo
2016-01-11 22:19 - 2016-01-11 22:19 - 00000000 ____D C:\Users\Default User\AppData\Local\Amigo
2016-01-11 21:58 - 2016-01-15 22:38 - 00000000 ____D C:\Users\home\AppData\Roaming\ASPackage
2016-01-11 20:15 - 2016-01-11 21:44 - 00000000 ____D C:\Program Files (x86)\IconRunner
2016-01-11 19:54 - 2016-01-11 21:44 - 00000000 ____D C:\Users\Все пользователи\qqffyYMAGNfzIdl
2016-01-11 19:54 - 2016-01-11 21:44 - 00000000 ____D C:\ProgramData\qqffyYMAGNfzIdl
2016-01-11 19:53 - 2016-01-13 20:30 - 00000942 _____ C:\appverifier.txt
2016-01-11 19:53 - 2016-01-11 19:53 - 00000000 ____D C:\Users\Все пользователи\TnlASQmt
2016-01-11 19:53 - 2016-01-11 19:53 - 00000000 ____D C:\ProgramData\TnlASQmt
2016-01-10 20:29 - 2016-01-15 22:38 - 00000000 ____D C:\Users\home\AppData\Local\EucoDrZlIPxyIwk
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\Users\Все пользователи\WGTYHbYGugqscdI
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\Users\Все пользователи\IemsRq
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\Users\Все пользователи\BRaVGpvoW
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\ProgramData\WGTYHbYGugqscdI
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\ProgramData\IemsRq
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\ProgramData\BRaVGpvoW
2016-01-10 20:29 - 2016-01-10 20:29 - 00000000 ____D C:\Program Files (x86)\Oursoft
2016-01-10 19:16 - 2016-01-15 22:38 - 00000000 ____D C:\Users\home\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-10 19:15 - 2016-01-10 19:15 - 00000000 ____D C:\Users\home\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZetaGames
2016-01-10 19:14 - 2016-01-15 22:38 - 00000000 ____D C:\Users\home\AppData\Local\ZetaGamesNews
2016-01-10 19:14 - 2016-01-15 22:38 - 00000000 ____D C:\Program Files (x86)\ZetaGames
2016-01-10 19:13 - 2016-01-16 00:41 - 00000000 ____D C:\Program Files (x86)\Mobogenie3
2016-01-10 19:13 - 2016-01-13 23:06 - 00000000 ____D C:\Users\home\AppData\Local\Hostinstaller
2016-01-10 19:13 - 2016-01-13 22:15 - 00000000 ____D C:\Users\home\AppData\Roaming\WindowsUpdater
C:\Users\home\AppData\Local\Temp\3DC2.tmp.exe
C:\Users\home\AppData\Local\Temp\3DC3.tmp.exe
C:\Users\home\AppData\Local\Temp\5331.tmp.exe
C:\Users\home\AppData\Local\Temp\917b0b87-3358-4e79-93de-3dfc2fc99ed0.exe
C:\Users\home\AppData\Local\Temp\978C.tmp.exe
C:\Users\home\AppData\Local\Temp\AD1A.tmp.exe
Task: {7DDEED95-565A-4BE5-A64A-8768B828AFE9} - \WindowsUpdater -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

у меня получается что тип файла - можно выбрать либо 

текстовые (*.txt)  либо просто все файлы без (*.*)

и кодировку какую оставить ANSI?

.

сделала и получилось это

Fixlog.txt

Изменено пользователем EIrina
Ссылка на комментарий
Поделиться на другие сайты

Внимание! Данный дешифратор предназначен только для пользователя EIrina

 

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

 

Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

 


 

 

Принцип работы с дешифратором:

 

1. Сохраните дешифратор в отдельную созданную папку. 

 

2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.

key.zip

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

mike 1! Дайте я Вас расцелую!!!  

Огромнейшее человеческое спасибо Вам и thyrex за помощь! 

Что мне теперь делать и как проверить, остался ли какой-нибудь вирус и как избежать повторения этого кошмара?

Причем антивирус у меня стоит, но что-то не словил ничего:(

Ссылка на комментарий
Поделиться на другие сайты

:))Тогда от всей души желаю вам с вашей девушкой гармонии и всего самого наилучшего в будущем. 

У меня фотографии в основном были ребенка за все его 11 лет жизни. Расстройство было ужасным.

Но вера в хороших людей и хорошие люди - победили!

А я не совсем чайник оказывается :))) Все получилось сделать, по Вашим и Thyrex инструкциям.

.

Как проверить, фигня в компе сохранилась ли?

Изменено пользователем EIrina
Ссылка на комментарий
Поделиться на другие сайты

Вирус удален.

 

 

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
Запустите DelFix

Обратите внимание
, что утилиты необходимо запускать от имени Администратора. По умолчанию в
Windows XP
так и есть. В
Windows Vista
и
Windows 7
администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
Запуск от имени Администратора
, при необходимости укажите пароль администратора и нажмите
Да

В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
Нажмите на кнопку Run

 
  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

 
Ссылка на комментарий
Поделиться на другие сайты

Исправьте и обновите:

 

 

Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2016-01-13 21:10:03
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
McAfee VirusScan Enterprise (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
McAfee VirusScan Enterprise Antispyware Module (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
McAfee Agent v.4.5.0.1810
McAfee VirusScan Enterprise v.8.8.00000
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.01 (64-bit) v.5.01.0 Внимание! Скачать обновления
Oracle VM VirtualBox 5.0.12 v.5.0.12
TeamViewer 9 v.9.0.41110 Внимание! Скачать обновления
^Необязательное обновление.^
VLC media player 2.1.2 v.2.1.2 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.1 v.7.1.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 Plugin v.11.9.900.170 Внимание! Скачать обновления
Adobe Reader XI (11.0.13) - Russian v.11.0.13 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex v.15.9.2403.3043 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.47.0.2526.111 [+]
Opera Stable 34.0.2036.25 v.34.0.2036.25 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 
 
На этом все. Можно вас выписывать :)
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...