Перейти к содержанию

Добрый день! После открытия файла из электронного письма на компьютере были зашифрованы файлы


Рекомендуемые сообщения

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
    CloseProcesses:
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    SearchScopes: HKU\S-1-5-21-1574535798-2006426915-2414112248-1000 -> 51A852441FFA8B9378D5F1E0DD65F0D2 URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1424414221&from=epom2&uid=SAMSUNGXHM321HI_S26VJ9AB439822&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1574535798-2006426915-2414112248-1000 -> yandex.ru-110945 URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7fddf1f0c3a98807f493533408c8005a&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-1574535798-2006426915-2414112248-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=7fddf1f0c3a98807f493533408c8005a&text=
    BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files\IObit\IObit Uninstaller\UninstallExplorer32.dll => No File
    BHO: Визуальные закладки -> {C93F72A2-2162-4BBA-A07A-F13663C297A6} -> C:\Program Files\Yandex\YandexBarIE\fastdial.dll => No File
    Toolbar: HKLM - Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll No File
    Toolbar: HKU\.DEFAULT -> Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll No File
    Toolbar: HKU\S-1-5-21-1574535798-2006426915-2414112248-1000 -> Яндекс.Бар - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\YandexBarIE\yndbar.dll No File
    Folder: C:\Users\Нина\AppData\Roaming\377634A0-1424428717-11B2-8000-E0D3D93929A6
    CustomCLSID: HKU\S-1-5-21-1574535798-2006426915-2414112248-1000_Classes\CLSID\{2614C37E-2C78-4bfb-B7A6-E49B62B9CD9B}\localserver32 -> "C:\Users\Нина\AppData\Local\Yandex\Updater\yupdate-executor.exe" => No File
    CustomCLSID: HKU\S-1-5-21-1574535798-2006426915-2414112248-1000_Classes\CLSID\{949CDFC6-2A52-4C27-A0A2-F87EF62D5536}\localserver32 -> "C:\Users\Нина\AppData\Local\Yandex\Updater\praetorian.exe" => No File
    CustomCLSID: HKU\S-1-5-21-1574535798-2006426915-2414112248-1000_Classes\CLSID\{D236C998-BECE-472D-B939-541727B72AEF}\localserver32 -> "C:\Users\Нина\AppData\Local\Yandex\Updater\yupdate-executor.exe" => No File
    ShortcutWithArgument: C:\Users\Нина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехplоrеr (Nо Аdd-оns).lnk -> C:\Program Files\Internet Explorer\..\..\iехplоrе.bаt.exe (Microsoft Corporation) -> "hxxp://search-poysk.ru"
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fadadaffdca]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fadadaffdcaba]
    Reboot:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • lex-xel
      От lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
    • ДмитрийКасперскийКлуб
      От ДмитрийКасперскийКлуб
      При запуске ноутбука открывается бразуер с ссылкой на рекламу, так же после перезапуска бывает сворачивается полноэкранное приложение, будто что-то на фоне начинает выполняться на секунду, что сворачивает активное приложение. После анализа CureIt был обнаружен и вылечен троян trojan starter 7691. Подозреваю, что могло начаться после использования zapret-discord-youtube архива (уже удалил его).
      Заранее большое спасибо за помощь!
      CollectionLog-2024.12.16-13.39.zip
    • Arsenynikol
      От Arsenynikol
      CollectionLog-2024.09.28-05.38.zip
    • Alexey.N
      От Alexey.N
      Добрый день!
      Утром 04.10.2024 обнаружили, что на компьютере пропали ярлыки и не открываются файлы.
      На всех папках стоит дата 03.10.24 вечером в 23:10 вирус проник и зашифровал.
      Записка злоумышленников есть, также все файлы имеют расширение почты и код блокировки. 
      Пример: Mail-[mammoncomltd@gmail.com]ID-[КОД БЛОКИРОВКИ].mammn
      Во вложении зашифрованные файлы в архиве и также в другом архиве логи.
       
      Зашифрованные файлы.rar FRST и Addition.rar
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...