Перейти к содержанию

зашифрованные файлы с расширение breaking_bad


Рекомендуемые сообщения

Дело происходило так, пришло письмо на почту от "бухгалтера" с задолжностью. Открыли это письмо потом следовательно файл который был вложен, и с этого момента все стало шифроваться с расширением breaking_bad 

CollectionLog-2016.02.03-15.12.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
 
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\roman\appdata\roaming\7971d47e-1431500068-dd11-8dca-001eeca3015f\jnsbfda0.tmp');
 TerminateProcessByName('c:\users\roman\appdata\local\7971d47e-1431514827-dd11-8dca-001eeca3015f\snssce68.tmp');
 StopService('dopokyzu');
 StopService('qozyzuwu');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\Users\Roman\AppData\Local\Pokki\Engine\pokki.exe','');
 QuarantineFile('C:\Users\Roman\AppData\Local\Pokki\Engine\inspector','');
 QuarantineFile('C:\Users\Roman\AppData\Local\7971D47E-1431514569-DD11-8DCA-001EECA3015F\bnslE340.exe','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMUdisk.sys','');
 QuarantineFileF('C:\Users\Roman\AppData\Local\SmartWeb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\roman\appdata\roaming\7971d47e-1431500068-dd11-8dca-001eeca3015f\jnsbfda0.tmp', '');
 QuarantineFile('c:\users\roman\appdata\local\7971d47e-1431514827-dd11-8dca-001eeca3015f\snssce68.tmp', '');
 QuarantineFile('C:\WINDОWS\ехрlоrеr.exe', '');
 QuarantineFile('C:\Users\Roman\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\Users\Roman\appdata\local\smartweb\__u.exe', '');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMUdisk.sys','32');
 DeleteFile('C:\Users\Roman\AppData\Local\7971D47E-1431514569-DD11-8DCA-001EECA3015F\bnslE340.exe','32');
 DeleteFile('C:\Users\Roman\AppData\Local\Pokki\Engine\inspector','32');
 DeleteFile('C:\Users\Roman\AppData\Local\Pokki\Engine\pokki.exe','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('c:\users\roman\appdata\roaming\7971d47e-1431500068-dd11-8dca-001eeca3015f\jnsbfda0.tmp', '32');
 DeleteFile('c:\users\roman\appdata\local\7971d47e-1431514827-dd11-8dca-001eeca3015f\snssce68.tmp', '32');
 DeleteFile('C:\WINDОWS\ехрlоrеr.exe', '32');
 DeleteFile('C:\Users\Roman\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Users\Roman\appdata\local\smartweb\__u.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 DeleteService('QMUdisk');
 DeleteService('dopokyzu');
 DeleteService('qozyzuwu');
 DeleteFileMask('C:\Users\Roman\AppData\Local\SmartWeb', '*', true);
 DeleteDirectory('C:\Users\Roman\AppData\Local\SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #2');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(10);
RebootWindows(true);
end.
 

 
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
 
Полученный ответ сообщите здесь (с указанием номера KLAN)

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Remote Desktop Access (VuuPC)
Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\roman\appdata\roaming\7971d47e-1431500068-dd11-8dca-001eeca3015f\jnsbfda0.tmp');
 TerminateProcessByName('c:\users\roman\appdata\local\7971d47e-1431514827-dd11-8dca-001eeca3015f\snssce68.tmp');
 StopService('dopokyzu');
 StopService('qozyzuwu');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\Users\Roman\AppData\Local\Pokki\Engine\pokki.exe','');
 QuarantineFile('C:\Users\Roman\AppData\Local\Pokki\Engine\inspector','');
 QuarantineFile('C:\Users\Roman\AppData\Local\7971D47E-1431514569-DD11-8DCA-001EECA3015F\bnslE340.exe','');
 QuarantineFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMUdisk.sys','');
 QuarantineFileF('C:\Users\Roman\AppData\Local\SmartWeb', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\roman\appdata\roaming\7971d47e-1431500068-dd11-8dca-001eeca3015f\jnsbfda0.tmp', '');
 QuarantineFile('c:\users\roman\appdata\local\7971d47e-1431514827-dd11-8dca-001eeca3015f\snssce68.tmp', '');
 QuarantineFile('C:\WINDОWS\ехрlоrеr.exe', '');
 QuarantineFile('C:\Users\Roman\AppData\Local\SmartWeb\SmartWebHelper.exe', '');
 QuarantineFile('C:\Users\Roman\appdata\local\smartweb\__u.exe', '');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.7.16066.216\QMUdisk.sys','32');
 DeleteFile('C:\Users\Roman\AppData\Local\7971D47E-1431514569-DD11-8DCA-001EECA3015F\bnslE340.exe','32');
 DeleteFile('C:\Users\Roman\AppData\Local\Pokki\Engine\inspector','32');
 DeleteFile('C:\Users\Roman\AppData\Local\Pokki\Engine\pokki.exe','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('c:\users\roman\appdata\roaming\7971d47e-1431500068-dd11-8dca-001eeca3015f\jnsbfda0.tmp', '32');
 DeleteFile('c:\users\roman\appdata\local\7971d47e-1431514827-dd11-8dca-001eeca3015f\snssce68.tmp', '32');
 DeleteFile('C:\WINDОWS\ехрlоrеr.exe', '32');
 DeleteFile('C:\Users\Roman\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
 DeleteFile('C:\Users\Roman\appdata\local\smartweb\__u.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SmartWeb Upgrade Trigger Task" /F', 0, 15000, true);
 DeleteService('QMUdisk');
 DeleteService('dopokyzu');
 DeleteService('qozyzuwu');
 DeleteFileMask('C:\Users\Roman\AppData\Local\SmartWeb', '*', true);
 DeleteDirectory('C:\Users\Roman\AppData\Local\SmartWeb');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Application Restart #2');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(10);
RebootWindows(true);
end.
 

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Remote Desktop Access (VuuPC)

 

зашифрованные файлы breaking_bad [KLAN-3708948873]

Здравствуйте, 

Это сообщение было сгенерировано с помощью автоматической системы ответное сообщение. Сообщение содержит информацию о приговоров, которые были возвращены Антивирусом в ответ на файлы (если таковые входят в сообщении) с последними обновлениями. 

 

bnslE340.exe, 

jnsbfda0.tmp, 

snssce68.tmp 

 

Набор неизвестных файлов был получен. Они будут отправлены в вирусную лабораторию. 

 

__u.exe - не-вирус: AdWare.Win32.PriceGong.a 

 

Этот файл является Реклама Инструмент, Это обнаружение будут включены в следующем обновлении баз данных, установленных расширенных. 

 

С наилучшими пожеланиями, Лаборатория Касперского 

Ссылка на комментарий
Поделиться на другие сайты

Будьте внимательны. Нужно было только просканировать, а Вы самостоятельно все очистили.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

 

Будьте внимательны. Нужно было только просканировать, а Вы самостоятельно все очистили.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
 
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

Хм, опять нахватали адвари...
Постарайтесь до конца лечения ничего не скачивать и не устанавливать.
 
Через Панель управления - Удаление программ - удалите нежелательное ПО:

Body Text Feathering
GamesDesktop 033.005010226
GamesDesktop 033.005010227
SpaceSoundPro
SpaceSoundPro Service
Wedsoft
Служба автоматического обновления программ


Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [SpaceSoundPro] => C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe [4203520 2015-08-03] (Space Sound Pro)
HKLM\...\Run: [gmsd_ru_005010226] => "C:\Program Files\gmsd_ru_005010226\gmsd_ru_005010226.exe"
HKLM\...\Run: [gmsd_ru_005010227] => "C:\Program Files\gmsd_ru_005010227\gmsd_ru_005010227.exe"
HKLM\...\RunOnce: [IOPROTECT] => C:\Program Files\SpaceSondPro_v53.12686\ioproduct_service.bat [152 2016-02-03] ()
HKU\S-1-5-21-2360592116-2428998435-3233321148-1000\...\Run: [amigo] => C:\Users\Roman\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
HKU\S-1-5-21-2360592116-2428998435-3233321148-1000\...\Run: [MailRuUpdater] => C:\Users\Roman\AppData\Local\Mail.Ru\MailRuUpdater.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2360592116-2428998435-3233321148-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-2360592116-2428998435-3233321148-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: No Name - C:\Users\Roman\AppData\Roaming\Mozilla\Firefox\Profiles\hr4xkqur.default-1428719971505\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
R2 lijeluqezbt; C:\Program Files\7971D47E-1454509779-DD11-8DCA-001EECA3015F\knstA85D.tmp [207872 2016-02-03] () [File not signed]
R2 SSFK; C:\Program Files\SFK\SSFK.exe [159936 2016-02-03] ()
R2 Updater.Mail.Ru; C:\Program Files\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [6058712 2016-02-02] (Mail.Ru)
R2 WdMan; C:\ProgramData\nWdMn\WdMan.exe [794376 2016-02-03] (TU-Funs LIMITED)
S2 Update LinkSwift; "C:\Program Files\LinkSwift\updateLinkSwift.exe" [X]
S1 BAPIDRV; system32\DRIVERS\BAPIDRV.sys [X]
2016-02-04 18:15 - 2016-02-04 18:15 - 00000000 ____D C:\Users\Все пользователи\odCYgD
2016-02-04 18:15 - 2016-02-04 18:15 - 00000000 ____D C:\ProgramData\odCYgD
2016-02-03 22:51 - 2016-02-03 22:51 - 00000000 ____D C:\Users\Все пользователи\ZGwthVDLeR
2016-02-03 22:51 - 2016-02-03 22:51 - 00000000 ____D C:\ProgramData\ZGwthVDLeR
2016-02-03 19:23 - 2016-02-03 19:23 - 00000000 ____D C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0
2016-02-03 19:05 - 2016-02-04 18:14 - 00000000 ____D C:\Program Files\SFK
2016-02-03 19:05 - 2016-02-03 19:06 - 00000000 ____D C:\Users\Все пользователи\nWdMn
2016-02-03 19:05 - 2016-02-03 19:06 - 00000000 ____D C:\ProgramData\nWdMn
2016-02-03 19:05 - 2016-02-03 19:05 - 00000074 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2016-02-03 19:05 - 2016-02-03 19:05 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2016-02-03 19:04 - 2016-02-03 19:05 - 00000000 ____D C:\Users\Roman\AppData\Roaming\yoursearching
2016-02-03 19:03 - 2016-02-03 19:23 - 00000000 ____D C:\Program Files\gmsd_ru_005010227
2016-02-03 19:03 - 2016-02-03 19:03 - 00000000 ____D C:\Users\Roman\AppData\Local\gmsd_ru_005010227
2016-02-03 18:52 - 2016-02-03 18:52 - 00000000 ____D C:\Users\Все пользователи\YWpXKzN
2016-02-03 18:52 - 2016-02-03 18:52 - 00000000 ____D C:\Users\Все пользователи\ieNXjvAfN
2016-02-03 18:52 - 2016-02-03 18:52 - 00000000 ____D C:\ProgramData\YWpXKzN
2016-02-03 18:52 - 2016-02-03 18:52 - 00000000 ____D C:\ProgramData\ieNXjvAfN
2016-02-03 18:29 - 2016-02-04 18:12 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-02-03 18:29 - 2016-02-03 22:52 - 00000000 ____D C:\Program Files\7971D47E-1454509779-DD11-8DCA-001EECA3015F
2016-02-03 18:29 - 2016-02-03 19:23 - 00001029 _____ C:\Users\Roman\Desktop\SpaceSoundPro.lnk
2016-02-03 18:29 - 2016-02-03 19:23 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP
2016-02-03 18:29 - 2016-02-03 18:31 - 00000000 ____D C:\Program Files\SpaceSondPro_v53.12686
2016-02-03 18:29 - 2016-02-03 18:29 - 00000000 ____D C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
2016-02-03 18:29 - 2016-02-03 18:29 - 00000000 ____D C:\Users\Roman\AppData\Local\gmsd_ru_005010226
2016-02-03 18:29 - 2016-02-03 18:29 - 00000000 ____D C:\Program Files\SpaceSondPro
2016-02-03 18:29 - 2016-02-03 18:29 - 00000000 ____D C:\Program Files\gmsd_ru_005010226
2016-02-03 18:28 - 2016-02-03 18:28 - 00000000 ____D C:\Users\Все пользователи\kXVyxcrvjz
2016-02-03 18:28 - 2016-02-03 18:28 - 00000000 ____D C:\Users\Все пользователи\bdEgEhCgy
2016-02-03 18:28 - 2016-02-03 18:28 - 00000000 ____D C:\Users\Roman\AppData\Local\zsyAWxxRbx
2016-02-03 18:28 - 2016-02-03 18:28 - 00000000 ____D C:\ProgramData\kXVyxcrvjz
2016-02-03 18:28 - 2016-02-03 18:28 - 00000000 ____D C:\ProgramData\bdEgEhCgy
2016-02-03 18:28 - 2016-02-03 18:28 - 00000000 ____D C:\Program Files\Wedsoft
2016-01-23 12:25 - 2016-02-03 13:48 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-01-23 12:25 - 2016-02-03 13:48 - 00000000 __SHD C:\ProgramData\Csrss
2016-01-23 12:24 - 2016-02-03 13:48 - 00000000 ____D C:\Users\Roman\AppData\Local\Exstion
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README9.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README8.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README7.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README6.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README5.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README4.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README3.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README2.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README10.txt
2016-01-20 14:33 - 2016-01-20 14:33 - 00000843 _____ C:\README1.txt
2016-01-20 14:32 - 2016-02-03 13:48 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-01-20 14:32 - 2016-02-03 13:48 - 00000000 __SHD C:\ProgramData\Windows
2015-05-17 04:24 - 2015-05-17 04:24 - 0613255 _____ (CMI Limited) C:\Users\Roman\AppData\Local\nsh4133.tmp
2015-05-13 12:09 - 2015-05-13 12:09 - 0628688 _____ (CMI Limited) C:\Users\Roman\AppData\Local\nsnEC5A.tmp
2015-05-13 17:08 - 2015-05-13 17:08 - 0613255 _____ (CMI Limited) C:\Users\Roman\AppData\Local\nsx27F0.tmp
2015-05-13 17:08 - 2015-05-13 17:08 - 0613255 _____ (CMI Limited) C:\Users\Roman\AppData\Local\nsx8577.tmp
C:\Users\Roman\AppData\Local\Temp\1BDA4878.exe
C:\Users\Roman\AppData\Local\Temp\40.exe
C:\Users\Roman\AppData\Local\Temp\4301.exe
C:\Users\Roman\AppData\Local\Temp\5036.exe
C:\Users\Roman\AppData\Local\Temp\5C85B4A2.exe
C:\Users\Roman\AppData\Local\Temp\6E45C541.exe
C:\Users\Roman\AppData\Local\Temp\adobe_flash.exe
C:\Users\Roman\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Roman\AppData\Local\Temp\BingBarSetup-Partner.exe
C:\Users\Roman\AppData\Local\Temp\BingSvc.exe
C:\Users\Roman\AppData\Local\Temp\BSvcProcessor.exe
C:\Users\Roman\AppData\Local\Temp\BSvcUpdater.exe
C:\Users\Roman\AppData\Local\Temp\Foxit Updater.exe
C:\Users\Roman\AppData\Local\Temp\fsdE002.exe
C:\Users\Roman\AppData\Local\Temp\jueF160.exe
C:\Users\Roman\AppData\Local\Temp\kometa_vd.exe
C:\Users\Roman\AppData\Local\Temp\mailruhomesearchvbm.exe
C:\Users\Roman\AppData\Local\Temp\pps-qq-19.exe
C:\Users\Roman\AppData\Local\Temp\qqpcmgr_v10.7.16066.216_71736_Silence.exe
C:\Users\Roman\AppData\Local\Temp\qweee.exe
C:\Users\Roman\AppData\Local\Temp\sender.exe
C:\Users\Roman\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Roman\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Roman\AppData\Local\Temp\sqlite3.dll
C:\Users\Roman\AppData\Local\Temp\Uninstall.exe
C:\Users\Roman\AppData\Local\Temp\Update.exe
C:\Users\Roman\AppData\Local\Temp\utt1259.tmp.exe
C:\Users\Roman\AppData\Local\Temp\uttC333.tmp.exe
C:\Users\Roman\AppData\Local\Temp\vlc-2.0.8-win32.exe
C:\Users\Roman\AppData\Local\Temp\Yandex.exe
C:\Users\Roman\AppData\Local\Temp\yupdate-exec-yabrowser.exe
C:\Users\Roman\AppData\Local\Temp\Z5AXL5JLSR.exe
C:\Users\Roman\AppData\Local\Temp\{66C4D3D5-38FA-4AF1-93E8-A492952C3E99}-GoogleUpdateSetup.exe
C:\Users\Roman\AppData\Local\Temp\{E361655D-3A2E-4C18-929A-359FB27E2F00}-GoogleUpdateSetup.exe
FirewallRules: [{88D04DEB-931A-4928-A962-9DFD245B86E1}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{45D71D72-6CD0-4D87-939E-9A45714DBC46}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{73708690-AC2F-4E31-B924-66822BBB6C28}] => (Allow) C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
FirewallRules: [{3D20719C-46CA-4F22-8345-295E22619137}] => (Allow) C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe
FirewallRules: [{B9D941AE-998A-44B5-ADEF-E3701130A0AD}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{53FBA233-6949-4CF7-9AB8-C06DB7248D99}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{F28E75DB-4650-433D-B2D1-83EEF2190B5A}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{7B200E09-532C-42A3-ADC5-F4404DC6DF71}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.


Ярлыки

C:\Users\Roman\Desktop\Yandex.lnk
C:\Users\Roman\Desktop\ярлыки\Google Chrome.lnk
C:\Users\Roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\Roman\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\Users\Roman\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk
C:\Users\Roman\Desktop\ярлыки\Gоogle Сhrоmе.lnk
C:\Users\Roman\Desktop\ярлыки\LightSсribe.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Garand
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • ovfilinov
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...