Перейти к содержанию

Зашифрованные файлы, расширение ZCRYPT


Рекомендуемые сообщения

Здравствуйте, я поймала вирус шифровальщик, документы и изображения стали с форматом zcrypt и появился файл - инструкция в котором текст : "ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов." Сделала проверку через Kaspersky Virus Removal Tool 2015. Прилагаю к письму файл с отчетом AVZ.

CollectionLog-2016.05.21-20.00.zip

Изменено пользователем Dasha4e
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\администратор\appdata\local\systemdir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\contentprotector', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\SystemDir\nethost.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\condefclean.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotector.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\libeay32.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nfregdrv.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nspr4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\nss3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plc4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\plds4.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\smime3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\nss\softokn3.dll', '');
 QuarantineFile('C:\Program Files\contentprotector\ssleay32.dll', '');
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "chrome5_logon" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "nethost task" /F', 0, 15000, true);
 DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Local\SystemDir\nethost.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\condefclean.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotector.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\libeay32.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nfregdrv.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll', '32');
 DeleteFile('C:\Program Files\contentprotector\ssleay32.dll', '32');
 DeleteFileMask('c:\users\администратор\appdata\local\systemdir', '*', true);
 DeleteFileMask('c:\program files\contentprotector', '*', true);
 DeleteDirectory('c:\users\администратор\appdata\local\systemdir');
 DeleteDirectory('c:\program files\contentprotector');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteRepair(3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

KLAN-4319509879
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

condefclean.exe,
ContentProtector.exe,
ContentProtectorConrol.exe,
ContentProtectorUpdate.exe,
import_root_cert.exe,
libeay32.dll,
nfregdrv.exe,
ssleay32.dll,
certutil.exe,
mozcrt19.dll,
nspr4.dll,
nss3.dll,
plc4.dll,
plds4.dll,
smime3.dll,
softokn3.dll - not-a-virus:NetTool.Win64.NetFilter.jd
ConProtSetup.exe - not-a-virus:NetTool.Win64.NetFilter.lf

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

Отправляю повторные логи

CollectionLog-2016.05.24-20.14.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

 

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

 

Сделано. Файл прикреплен.

AdwCleanerS1.txt

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Настройки отметьте дополнительно:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Сделано. Отправлены отчеты указанные в 2х пунктах.

Addition.txt

AdwCleanerC1.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1720671663-4134655627-3350328859-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm [2016-05-21]
OPR Extension: (No Name) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\ooeamnobedpgkckfbgcfcflhglafjfkc [2016-05-19]
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\Tasks\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\SysWOW64\Drivers\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\SysWOW64\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\System32\Tasks\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system32\Drivers\etc\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system32\Drivers\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\System32\dllcache\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system32\config\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system32\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\Minidump\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:33 - 2016-05-19 09:33 - 00000273 _____ C:\Windows\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:33 - 2016-05-19 09:33 - 00000273 _____ C:\Users\Администратор\Documents\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:25 - 2016-05-19 09:25 - 00000273 _____ C:\Users\Администратор\Desktop\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:24 - 2016-05-19 09:24 - 00000273 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:24 - 2016-05-19 09:24 - 00000273 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:24 - 2016-05-19 09:24 - 00000273 _____ C:\Users\Администратор\AppData\Roaming\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:24 - 2016-05-19 09:24 - 00000273 _____ C:\Users\Администратор\AppData\LocalLow\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Все пользователи\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Администратор\AppData\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Администратор\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Public\Downloads\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Public\Documents\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Public\Desktop\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Public\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\Downloads\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\Documents\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\Desktop\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\AppData\Roaming\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\AppData\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\Downloads\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\Documents\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\Desktop\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\AppData\Roaming\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\AppData\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\ProgramData\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:22 - 2016-05-19 09:22 - 00000273 _____ C:\Program Files\Common Files\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:22 - 2016-05-19 09:22 - 00000273 _____ C:\Program Files\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:22 - 2016-05-19 09:22 - 00000273 _____ C:\Program Files (x86)\!ИНСТРУКЦИЯ!.txt
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1720671663-4134655627-3350328859-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbjjfiihgfegniolckphpnfaokdkbmdm [2016-05-21]
OPR Extension: (No Name) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\ooeamnobedpgkckfbgcfcflhglafjfkc [2016-05-19]
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\Tasks\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\SysWOW64\Drivers\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\SysWOW64\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\System32\Tasks\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system32\Drivers\etc\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system32\Drivers\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\System32\dllcache\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system32\config\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system32\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\system\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:34 - 2016-05-19 09:34 - 00000273 _____ C:\Windows\Minidump\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:33 - 2016-05-19 09:33 - 00000273 _____ C:\Windows\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:33 - 2016-05-19 09:33 - 00000273 _____ C:\Users\Администратор\Documents\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:25 - 2016-05-19 09:25 - 00000273 _____ C:\Users\Администратор\Desktop\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:24 - 2016-05-19 09:24 - 00000273 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:24 - 2016-05-19 09:24 - 00000273 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:24 - 2016-05-19 09:24 - 00000273 _____ C:\Users\Администратор\AppData\Roaming\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:24 - 2016-05-19 09:24 - 00000273 _____ C:\Users\Администратор\AppData\LocalLow\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Все пользователи\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Администратор\AppData\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Администратор\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Public\Downloads\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Public\Documents\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Public\Desktop\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Public\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\Downloads\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\Documents\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\Desktop\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\AppData\Roaming\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\AppData\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\Downloads\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\Documents\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\Desktop\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\AppData\Roaming\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\Default User\AppData\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\Users\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\ProgramData\Microsoft\Windows\Start Menu\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:23 - 2016-05-19 09:23 - 00000273 _____ C:\ProgramData\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:22 - 2016-05-19 09:22 - 00000273 _____ C:\Program Files\Common Files\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:22 - 2016-05-19 09:22 - 00000273 _____ C:\Program Files\!ИНСТРУКЦИЯ!.txt
2016-05-19 09:22 - 2016-05-19 09:22 - 00000273 _____ C:\Program Files (x86)\!ИНСТРУКЦИЯ!.txt
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сделано. Файл прикреплен.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • jserov96
      От jserov96
      Шифровальщик запустился скорее всего из планировщика заданий ровно в 21:00 16 ноября в субботу.  Время указано на основе найденных зашифрованных файлов. Шифровальщик нашел все скрытые диски, подключил все бекапы, зашифровал все содержимое .vhd бекапов, и сами бекапы тоже зашифровал. Сервер отключен, диск с бекапами снят, зашифрованные .vhd файлы перенесены на другой диск, чтобы попробовать вытащить файлы. Шифровальщик шифрует первый 20000h байт файла и дописывает 300h байт в огромные файлы, видимо сделано для ускорения шифрования всего диска. Особенность: выполняемые файлы не шифруются!
      vx2.rar
    • Garand
      От Garand
      Windows Server 2012 R2
      Спокойно работали 29.11.2024  и в 09:40 перестали быть доступны сетевые файлы и появилась ошибка 1С.
      в текстовом файле указана почта для восстановления:
      Write to email: a38261062@gmail.com
       
      Во вложении текстовый файл и несколько зашифрованных файлов
      FILES_ENCRYPTED.rar Desktop.rar
    • 4ikotillo
      От 4ikotillo
      Добрый день, обнаружил на своем сетевом хранилище зашифрованные файлы. Файлы были зашиврованы не во всех директориях, а только в тех у которых были права на вход пользователя guest. Я не нашел источник заразы, проверил все компьютеры дома, все чисто. Само шифрование длилось порядка 4 часов и не все файлы были зашиврованны. Видимо зараженное устройство только какое-то время было в моей сети. Прилагаю примеры зашиврованных файлов, мне известно только то что они все имею расширение 4utjb34h. Спасибо за любую помощь.
      4utjb34h.zip FRST.txt
    • ovfilinov
      От ovfilinov
      Группа серверов на основе Виндовс сервер 2008 2016 в локальной сети в домене виндовс.
      на виртуальных машинах на разных гипервизорх: Vmware Hyper-V
      На них установлен kaspersky Securiti for windows server версия вероятно 10.1
      неожиданно перестали работать
      при загрузке с лайф сд обнаружены что файлы зашифрованы и выглядят:
      имя файла.расширение.6a19a55854eee3 например:
      IT Invent_export_14-09-2022.xls.6a19a55854eee3
      а также в каждый каталог добавлен файл с вымогательством
      6a19a55854eee3-README.txt
      при обнаружении все компьютеры были выключены.
       
      files.zip FRST.txt
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...