Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Файл пришел на почту. Называется Акт  типовый.zip.  (Запустила бухгалтер) 

 

Логи + этот файл + требование вымогателей + образцы зашифрованных файлов прикрепляю.

CollectionLog-2016.07.26-14.58.zip

!!!README!!!fNbwq.rtf

Desktop.rar

Изменено пользователем Sandor
Прикрепляйте только то, что просят!
Опубликовано

Здравствуйте!

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

RegClean-Pro

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CHR HKU\S-1-5-21-3237761740-1963115263-2092414283-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF user.js: detected! => C:\Users\LV\AppData\Roaming\Mozilla\Firefox\Profiles\itxrlap0.default\user.js [2015-03-25]
2016-07-26 16:03 - 2014-02-12 09:48 - 00000280 _____ C:\Windows\Tasks\Digital Sites.job
2016-07-26 16:03 - 2014-01-13 11:36 - 00000280 _____ C:\Windows\Tasks\Funmoods.job
2016-07-26 16:03 - 2013-10-15 12:48 - 00000280 _____ C:\Windows\Tasks\DigitalSite.job
Task: {2465AFF8-785A-4E4F-BC4B-5549581D8311} - \Digital Sites -> No File <==== ATTENTION
Task: {BF59B39D-3E44-45FF-96CA-D0BBCC26BF56} - \Funmoods -> No File <==== ATTENTION
Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\LV\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\LV\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\Windows\Tasks\Funmoods.job => C:\Users\LV\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано
  • Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

С расшифровкой, увы, помочь не сможем. Смените важные пароли, могли быть украдены.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Interessanten
      Автор Interessanten
      Доброго всем времени суток!
       
      Бухгалтерша открыла письмо от "Налоговой" и после этого зашифровались все файлы. Вот здесь самый нужный файл. Тот ноутбук забрали на чистку "местные" мастера, надеюсь у вас получится мне помочь. 
       
      Заранее благодарю!

       RannohDecryptor,  XoristDecryptor и RectorDecryptor не помогли (
      SATIS RAPORU GENEL 2016.xlsx.zip
    • Yulia_T
      Автор Yulia_T
      Как оказалось не новая история На эл. почту пришло письмо с требованием оплатить просроченный счет, при открытии понеслось - все файлы поменяли расширение на locked. На форуме нашлась похожая тема - делали все по инструкции.
      CollectionLog-2016.08.25-10.29.zip
    • GMK
      Автор GMK
      Наша организация постоянный ваш клиент, покупаем и обновляем ваше ПО. Но после лечения одного из компьютеров, на файловом сервере переименовались файлы офиса и  JPG на расширение .Locked   Помогите расшифровать или порядок действий. Файл во вложении
      бланк.doc.rar
    • Shodek
      Автор Shodek
      Здравствуйте. Поймал вирус, который зашифровал все документы, архивы, фотки. Название файла стало следующего вида <имя файла>.doc.locked. Пробовал утилиту rakhnidecryptor. Результат отрицательный. Появились два файла, это ридми и еще какой-то, которые необходимо отправить злоумышленникам для дешифратора. Можно ли расшифровать данные? Пароль на архив 123
       
      !!!README!!!zExy5.rtf
      KEY-242BD198-6398-4A1C-B95C-5E02CB97F4AF.rar
    • ekalmykov
      Автор ekalmykov
      Добрый день.
      Юзер получил вредоносное письмо  и не предупредив открыл вложение.
      Вложение было в виде скрипта .js после чего многие файлы получили расширение .locked.
      Нашли компьютер, с которого было произведен запуск и заражение.
      (во вложении virus.zip (пароль - virus) архив с исходным письмом + пару зараженных файлов для примера)
      Также во вложении лог сканирования от AdwCleaner.
      Самое грустное, что в сети есть "Общая папка", куда все пользователи скидывали свои документы (word, excel, pdf), и куда был доступ на запись, соответственно все файлы в общей папке тоже залочены. Юзерам пока дана команда ничего там не трогать и не пытаться запускать\скопировать к себе. Можно ли как-то восстановить эти данные? Другие компьютеры пока не пострадали.
       

      Строгое предупреждение от модератора Mark D. Pearlstone Не прикрепляйте вредоносные файлы на форум. AdwCleanerS0.txt
×
×
  • Создать...