Еще один криптовирус

12 сентября, 2016

блокнотики redme с записью

ATTENTION!

Your computer was attacked by trojan called cryptolocker. All your files are encrypted with cryptographically strong algorithm, and without original decryption key recovery is impossible.

To get your unique key and decode your files, you need to write us at email written below during 72 hours, otherwise your files will be destroyed forever!

salazar_slytherin10@yahoo.com

Было ли у кого такое чудо? и как бороться.

P.S. Эта падлюка задела самое святое, базы 1с

12 сентября, 2016

Здравствуйте!

Порядок оформления запроса о помощи

12 сентября, 2016

Logs

CollectionLog-2016.09.12-12.13.zip

12 сентября, 2016

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. на самом сервере.

12 сентября, 2016

Переделал

CollectionLog-2016.09.12-13.07.zip

12 сентября, 2016

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

12 сентября, 2016

готово

Addition.txt

FRST.txt

Shortcut.txt

12 сентября, 2016

Включите Восстановление системы.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
SearchScopes: HKU\S-1-5-21-1683288150-397165925-2814032489-500 -> Yandex URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1683288150-397165925-2814032489-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-09-11 22:42 - 2016-09-11 22:42 - 00000420 _____ C:\Users\Public\README.txt
2016-09-11 22:42 - 2016-09-11 22:42 - 00000420 _____ C:\README.txt
2016-09-11 22:41 - 2016-09-11 22:42 - 00000420 _____ C:\Users\Все пользователи\README.txt
2016-09-11 22:41 - 2016-09-11 22:42 - 00000420 _____ C:\Users\Public\Documents\README.txt
2016-09-11 22:41 - 2016-09-11 22:42 - 00000420 _____ C:\ProgramData\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\Public\Downloads\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\Downloads\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\Documents\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\Desktop\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\Roaming\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\LocalLow\README.txt
2016-09-11 22:41 - 2016-09-11 22:41 - 00000420 _____ C:\Users\irina\AppData\Local\Temp\README.txt
2016-09-11 21:37 - 2016-09-11 22:42 - 00000000 ____D C:\Users\irina\AppData\Local\Temp\WinRar
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перегрузите сервер вручную.

Подробнее читайте в этом руководстве.

12 сентября, 2016

готово

Fixlog.txt

12 сентября, 2016

Включите Восстановление системы

Не включили.

Смените все важные пароли. С расшифровкой не поможем.

12 сентября, 2016

печально, nod32 вроде обещался помочь, их ПО стоит, посмотрим что из это выйдет. Спасибо за помощь

Изменено 12 сентября, 2016 пользователем Андрей Левченко

12 сентября, 2016

Если будут результаты, сообщите, пожалуйста, сюда.

12 сентября, 2016

хорошо, сообщу

Еще один криптовирус

Рекомендуемые сообщения

Андрей Левченко

Sandor

Андрей Левченко

Sandor

Андрей Левченко

Sandor

Андрей Левченко

Sandor

Андрей Левченко

Sandor

Андрей Левченко

Sandor

Андрей Левченко

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum