Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик breaking_bad

Антон Дубов

Автор Антон Дубов
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Антон Дубов Новичок

Антон Дубов

Опубликовано
Опубликовано

На компьютере на протяжении более полугода скопилось около сотни вирусов. Один из них шифровальщик. KIS был установлен после заражения. Лицензия есть. Нужна помощь в расшифровке.

CollectionLog-2016.05.01-18.15.zip

README9.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\max driver updater\idscservice.exe','');
 QuarantineFile('C:\Program Files\WinTsks\WinTsks\WinTsks.exe','');
 QuarantineFile('C:\Program Files\webHancer\Programs\whAgent.exe','');
 QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Application Data\mpck_en_005030302\upmpck_en_005030302.exe','');
 QuarantineFile('C:\Program Files\rec_ru_258\rec_ru_258.exe','');
 QuarantineFile('C:\Program Files\mpck_en_005030302\mpck_en_005030302.exe','');
 QuarantineFile('C:\Program Files\Max Driver Updater\maxdu.exe','');
 QuarantineFile('C:\Program Files\IconRunner\MoneyBot.exe','');
 QuarantineFile('C:\DOCUME~1\05AC~1\LOCALS~1\Temp\app-helper1.exe','');
 QuarantineFile('C:\Program Files\Advanced PC Care\advancedpccare.exe','');
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('TSSK');
 DeleteService('WinSvces');
 DeleteService('WeatherChiknSrvr');
 DeleteService('tyriwozozbt');
 DeleteService('rowugoqo');
 DeleteService('rocufyky');
 DeleteService('rijufoze');
 QuarantineFile('C:\Program Files\WinSvces\WinSvces\WinSvces.exe','');
 QuarantineFile('C:\Program Files\WeatherChickn\WeatherChickn.exe','');
 QuarantineFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\knsvB3.tmpfs','');
 QuarantineFile('C:\Documents and Settings\Олег\Local Settings\Application Data\0D8F86A0-1460394427-11DE-906E-E0CB4EC25FD2\snsk128.tmp','');
 QuarantineFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\jnseC8.tmp','');
 QuarantineFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\hnsmD2.tmp','');
 DeleteService('AppVerifier');
 DeleteService('BugreportW');
 DeleteService('CloudPrinter');
 DeleteService('Doubleing');
 DeleteService('fbd6547492cc8159a0ebabc51d7ed2ad');
 QuarantineFile('C:\Program Files\387181c2d3bc587a86b80ede9b657d3a\a28b23048c9c05fee52902f8f5c2be67.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Doubleing\Doubleing.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\CloudPrinter\CloudPrinter.exe','');
 QuarantineFile('C:\Program Files\SpeedSearchesbnd\Bugreportauclt.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Appverifier\AppVerifierService.exe','');
 TerminateProcessByName('c:\documents and settings\Олег\application data\utorrent\updates\3.4.6_42094\utorrentie.exe');
 QuarantineFile('c:\documents and settings\Олег\application data\utorrent\updates\3.4.6_42094\utorrentie.exe','');
 TerminateProcessByName('c:\documents and settings\Олег\application data\svchost.exe');
 QuarantineFile('c:\documents and settings\Олег\application data\svchost.exe','');
 TerminateProcessByName('c:\documents and settings\Олег\application data\nssm.exe');
 QuarantineFile('c:\documents and settings\Олег\application data\nssm.exe','');
 DeleteFile('c:\documents and settings\Олег\application data\nssm.exe','32');
 DeleteFile('c:\documents and settings\Олег\application data\svchost.exe','32');
 DeleteFile('c:\documents and settings\Олег\application data\utorrent\updates\3.4.6_42094\utorrentie.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Appverifier\AppVerifierService.exe','32');
 DeleteFile('C:\Program Files\SpeedSearchesbnd\Bugreportauclt.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\CloudPrinter\CloudPrinter.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Doubleing\Doubleing.exe','32');
 DeleteFile('C:\Program Files\387181c2d3bc587a86b80ede9b657d3a\a28b23048c9c05fee52902f8f5c2be67.exe','32');
 DeleteFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\hnsmD2.tmp','32');
 DeleteFile('C:\Program Files\Win32_ComputerSystemProduct-1460369030---\jnseC8.tmp','32');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\0D8F86A0-1460394427-11DE-906E-E0CB4EC25FD2\snsk128.tmp','32');
 DeleteFile('C:\Program Files\WeatherChickn\WeatherChickn.exe','32');
 DeleteFile('C:\Program Files\WinSvces\WinSvces\WinSvces.exe','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\QMUdisk.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.11.16588.235\TS888.sys','32');
 DeleteFile('C:\windows\system32\tssk.sys','32');
 DeleteFile('C:\Documents and Settings\Олег\AppData\Local\Baidu\BaiduClient\1.6.0.359\BaiduUpdate.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','BRBrowserInst');
 DeleteFile('C:\Program Files\Advanced PC Care\advancedpccare.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced PC Care_Logon','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 DeleteFile('C:\DOCUME~1\05AC~1\LOCALS~1\Temp\app-helper1.exe','32');
 DeleteFile('C:\Program Files\badu\uc.exe','32');
 DeleteFile('C:\Documents and Settings\Олег\AppData\Local\Baidu\BaiduClient\1.8.0.821\Baidu.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BaiduClient','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\apphide','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\app-helper1','command');
 DeleteFile('C:\Program Files\IconRunner\MoneyBot.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IconRunner','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MaxDUReminder','command');
 DeleteFile('C:\Program Files\Max Driver Updater\maxdu.exe','32');
 DeleteFile('C:\Program Files\mpck_en_005030302\mpck_en_005030302.exe','32');
 DeleteFile('C:\Program Files\rec_ru_258\rec_ru_258.exe','32');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\mpck_en_005030302\upmpck_en_005030302.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\upmpck_en_005030302.exe','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rec_ru_258','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mpck_en_005030302','command');
 DeleteFile('C:\Program Files\webHancer\Programs\whAgent.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\webHancer Agent','command');
 DeleteFile('C:\windows\Tasks\MAXDriverUpdater_UPDATES.job','32');
 DeleteFile('C:\windows\Tasks\PPTAssistantNotifyTask_Олег.job','32');
 DeleteFile('C:\windows\Tasks\PPTAssistantUpdateTask_Олег.job','32');
 DeleteFile('C:\windows\Tasks\WinTsks.job','32');
 DeleteFile('C:\Program Files\WinTsks\WinTsks\WinTsks.exe','32');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist\assistupdate.exe','32');
 DeleteFile('C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist\notify.exe','32');
 DeleteFile('C:\Program Files\max driver updater\idscservice.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
Антон Дубов Новичок

Антон Дубов

Опубликовано
  • Автор
Опубликовано

KLAN-4190810023

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

idscservice.exe,
WinTsks.exe,
WinSvces.exe,
WeatherChickn.exe,
utorrentie.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

maxdu.exe,
nssm.exe

Вредоносный код в файлах не обнаружен.

advancedpccare.exe - not-a-virus:RiskTool.Win32.AdvancedPcCare.a
svchost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.tb

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

CollectionLog-2016.04.30-20.32.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ все, кроме

PUP.Optional.StartPage, D:\Instal\DAEMON Tools Lite 5.01.0407\DAEMON Tools Lite 5.0.1.0407 RePack by KpoJIuK\Daemon.Tools.Lite.v5.0.1.0407.exe, , [9f5d80342a6f171f73f391c3aa56af51],
RiskWare.CRK, D:\Instal\Microsoft_Office_Professional_Plus_2010_Volume_RUS\_mini-KMS Activator\mini-KMS Activator v1.054 MS VL\mini-KMS_Activator_v1.054_ENG.exe, , [a8540ea6f9a0e94d15bdcc82e21f8d73],
RiskWare.CRK, D:\Instal\Microsoft_Office_Professional_Plus_2010_Volume_RUS\_mini-KMS Activator\mini-KMS Activator v1.054 MS VL\mini-KMS_Activator_v1.054_RUS.exe, , [e31980346e2bd165874b98b634cd28d8],
RiskWare.CRK, D:\Instal\Microsoft_Office_Professional_Plus_2010_Volume_RUS\_mini-KMS Activator\mini-KMS Activator v1.3 Office 2010 VL\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe, , [30cca50fe1b80f274b875cf239c82bd5],
RiskWare.CRK, D:\Instal\Microsoft_Office_Professional_Plus_2010_Volume_RUS\_mini-KMS Activator\mini-KMS Activator v1.3 Office 2010 VL\mini-KMS_Activator_v1.3_Office2010_VL_RUS.exe, , [3ebe6e46059433032ea467e7bc458977],
Trojan.VirTool, D:\Zona Download\Fast and Furious - Showdown\steam_api.dll, , [4cb0377dadec84b2b1fe55198e74b947],
PUP.Optional.MediaGet, D:\Загрузки\MediaGet_id1605925ids2s.exe, , [4ab2d4e02d6ce94d955e8eaa837d8f71],
PUP.Optional.MediaGet, D:\Загрузки\MediaGet_id1606440ids2s.exe, , [dc20882ce6b31f1744af092f42bed62a],
PUP.Optional.InstallMonster, D:\Загрузки\4791-profilaktika-disleksii-u-uchaschihsya-1-klassa.exe, , [14e8fabab2e7cf6719fb6dc020e2c63a],
PUP.Optional.MediaGet, D:\Загрузки\sumerki-saga-rassvet-chast-1-the-twilight-saga-breaking-dawn-part-1-2011-bdrip-avctorrent_id2854589ids2s.exe, , [1ede565e27725dd9c23194a4a25e1ee2],
PUP.Optional.DownloadHelper, D:\Загрузки\minecraft.exe, , [a85460541d7cf640ba71d33262a0d729],
PUP.Optional.RuBar, D:\Загрузки\mod_dlya_gta_4_skachat_igry_cherez_torrent_-_skachat_igry_na_psp.exe, , [d626e5cf36631f173517490b19e81fe1],
PUP.Optional.ZvuZona, D:\Загрузки\kazaki-snova-voyna-[torrentino].exe, , [fa02e2d23e5b211598eed7e36f910af6],
PUP.Optional.RuBar, D:\Загрузки\nnm-club_ru_thunder-wolves.exe, , [5ba1c4f0adec191d18347cd80100b54b],
PUP.Optional.RuBar, D:\Загрузки\microsoft_office_2010_pro_plus_visio_premium_project_pro_sharepo.exe, , [c834169e485161d59fad282cb44d0af6],
PUP.Optional.ZvuZona, D:\Загрузки\duck-tales-remastered-[torrentino].exe, , [de1eb20230695ed89ee806b441bf9769],
PUP.Optional.MediaGet, D:\Загрузки\tajna-egora-ili-neobyknovennye-priklyucheniya-obyknovennym-letom_id2692276ids1s.exe, , [40bcc5ef06932511955e2f09da268977],
PUP.Optional.LoadMoney, D:\Загрузки\bulat-okudzhava-prelestnie-priklyucheniya.exe, , [4fadbdf741588da9f55e2c93768ae11f],
PUP.Optional.LoadMoney, D:\Загрузки\bulat-okudzhava-prelestnyie-priklyucheniya-_torrentino.exe, , [817b6e4655448fa7ec544288d62ac43c],
PUP.Optional.RuBar, D:\Загрузки\khrabraja_serdcem_2012_bdrip_1400_igrhost.exe, , [b745b103148556e079d3b99b5da4bb45],
RiskWare.FilePatcher, D:\Загрузки\Angry Birds Seasons 3.2.0\Patch\Patch.exe, , [8b7111a3adec1e181f6e038f1ce530d0],
RiskWare.CRK, D:\Закачка\Samovary by Krokoz - Professional Plus VL\_mini-KMS Activator\mini-KMS Activator v1.3 Office 2010 VL\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe, , [629ad8dcc6d362d418ba8ac4a55c4ab6],
Trojan.HTKeyGen, D:\проги\Autodesk AutoCAD 2011 x32 x64 ISO\activation\keygens\xf-a2011-32bits.exe, , [cd2f189cbfdae353001712b8b050e31d],
RiskWare.Tool.CK, D:\проги\Autodesk AutoCAD 2011 x32 x64 ISO\activation\keygens\xf-a2011-64bits.exe, , [b24a0ea640596bcb32d7d0819f63e31d],
RiskWare.Tool.CK, D:\проги\Reg Organizer 5.10 Beta 4\Keygen\keygen.exe, , [a458773d3e5bf6402579e57c22e049b7],
Trojan.Agent, D:\пчелы\пчелы\DjVu\DjVuReader_2.0.0.27_CoolFiles.RU_\djvureader\DjVuReader.exe, , [fc00e9cba5f422145683d986bb458a76],
RiskWare.Tool.HCK, D:\с рабочег стол 10.03.2012\serj2006_70@mail.ru\aleksshibaev@mail.ru\ALCOHOL 120% V1.9.5.3105\PATCH_3105.EXE, , [ca32209498011c1a0aa5303307fb41bf],
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
BHO: Визуальные закладки -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> C:\Program Files\Yandex\FastDial\fastdialhost.dll => No File
Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
OPR Extension: (Quick Searcher) - C:\Documents and Settings\Олег\Application Data\Opera Software\Opera Stable\Extensions\ecnphlgnajanjnkcmbpancdjoidceilk [2016-02-17]
2016-04-20 17:24 - 2016-04-20 17:24 - 00000000 ____D C:\Documents and Settings\坞邈\Application Data\Tencent
2016-04-20 13:18 - 2016-04-20 13:18 - 00000000 ____D C:\Documents and Settings\LocalService\Application Data\Tencent
2016-04-20 13:10 - 2016-04-20 13:10 - 00000000 ____D C:\Documents and Settings\Олег\Application Data\kingsoft
2016-04-20 13:00 - 2016-05-01 19:30 - 00000000 ____D C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist
2016-04-20 13:00 - 2016-04-23 12:10 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\kingsoft
2016-04-20 13:00 - 2016-04-20 13:00 - 00000000 ____D C:\Program Files\badu
2016-04-20 13:00 - 2016-04-20 13:00 - 00000000 ____D C:\Documents and Settings\Олег\Application Data\pptassist
2016-04-11 18:50 - 2016-04-21 20:34 - 00009590 _____ C:\appverifier.txt
2016-04-11 17:11 - 2016-04-11 17:11 - 00000945 _____ C:\Documents and Settings\Олег\Рабочий стол\Continue installation .lnk
2016-04-11 17:10 - 2016-04-11 17:10 - 00000000 ____D C:\Program Files\WinTsks
2016-04-11 17:10 - 2016-04-11 17:10 - 00000000 ____D C:\Program Files\WinSvces
2016-04-11 17:10 - 2016-04-11 17:10 - 00000000 ____D C:\Documents and Settings\Олег\Local Settings\Application Data\3810282D-6C19-47B0-8283-5C6C29A7E108
2016-04-11 17:07 - 2016-04-29 19:08 - 00000000 ____D C:\Documents and Settings\Олег\Local Settings\Application Data\0D8F86A0-1460394427-11DE-906E-E0CB4EC25FD2
2016-04-11 17:04 - 2016-04-11 17:00 - 00000983 _____ C:\windows\system32\Drivers\etc\hp.bak
2016-04-11 17:03 - 2016-05-01 01:17 - 00000000 ____D C:\Documents and Settings\Олег\Application Data\WeatherChickn
2016-02-17 16:49 - 2016-04-22 09:00 - 00000000 ____D C:\Documents and Settings\Олег\Application Data\FreeVPN
C:\Documents and Settings\Олег\Local Settings\Temp\Adblocker3.exe
C:\Documents and Settings\Олег\Local Settings\Temp\AmigoDistrib.exe
C:\Documents and Settings\Олег\Local Settings\Temp\amigo_setup.exe
C:\Documents and Settings\Олег\Local Settings\Temp\Baidu_Setup_1.6.0.359_10003087_20150507002.exe
C:\Documents and Settings\Олег\Local Settings\Temp\hcv_mailruhomesearch (1).exe
C:\Documents and Settings\Олег\Local Settings\Temp\hcv_mailruhomesearch.exe
C:\Documents and Settings\Олег\Local Settings\Temp\mailruhomesearchvbm.exe
C:\Documents and Settings\Олег\Local Settings\Temp\MailRuUpdater.exe
C:\Documents and Settings\Олег\Local Settings\Temp\qqpcmgr_v10.10.16434.218_72830_Silence.exe
C:\Documents and Settings\Олег\Local Settings\Temp\qqpcmgr_v10.11.16588.235_72623_Silence.exe
2015-11-04 09:14 - 2015-11-04 09:14 - 0921654 _____ () C:\Documents and Settings\Олег\Application Data\98AC63A698AC63A6.bmp
2015-09-24 20:56 - 2015-09-24 20:56 - 0371216 _____ () C:\Documents and Settings\Олег\Application Data\data13.dat
C:\Documents and Settings\Олег\Local Settings\Temp\tmp2E.tmp.exe
CustomCLSID: HKU\S-1-5-21-343818398-1957994488-682003330-1003_Classes\CLSID\{034DF736-A378-4292-ACAE-A561088999F5}\InprocServer32 -> C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist\pptassist.dll (珠海金山办公软件有限公司)
CustomCLSID: HKU\S-1-5-21-343818398-1957994488-682003330-1003_Classes\CLSID\{1077138E-896C-445E-BD31-CFCFFA4636C4}\InprocServer32 -> C:\Documents and Settings\Олег\Local Settings\Application Data\PPTAssist\pptassist.dll (珠海金山办公软件有限公司)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
    • vmax
      Шифровальщик 13
      Автор vmax
      Шифровальщик зашифровал все файлы, даже архивы, помогите, не знаю что делать. В архиве две заражённые картинки.
      1.jpg.id[3493C0DF-3274].[xlll@imap.cc].zip
    • Беляш
      Шифровальщик KOZANOSTRA
      Автор Беляш
      Добрый день.
      не восстановил   белый лист для RDP  на роутере.
      Сегодня 2025.06.18 получил наказание.  Какие то архивы есть. Помогут они или нет можно  понять только после обеззараживания.
      Пострадало  две машины и  файловое хранилище
      Помогите пожалуйста с восстановлением.  
      файлы работы   frst  и  шифровальщика  во вложении.
       
      С уважением, Урянский Виктор
       
      primery.zip frst.zip
×
×
  • Создать...