Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

вирус-шифратор

tivnego
 Поделиться

Рекомендуемые сообщения

tivnego Новичок

tivnego

Опубликовано
Опубликовано

Добрый день. Скачали вирус-шифратор.

Все на компьютере зашифровалось и появились блакноты README со след. содержанием:

Bаши фaйлы былu зaшuфpoваны.
Чтoбы pасшuфрoвaть ux, Вам нeoбходимo oтnравumь кoд:
A0A3417A0347AD617E05|0
нa элeкmронный aдpес robertamacdonald1994@gmail.com .
Дaлee вы noлyчuтe всe нeобхoдимые инcтpуkцuu.
Пonыmки рacшuфровamь cамостоятeльнo не пpuведym нu к чeмy, kpoме бeзвoзвpaтной поmеpu uнформaцuи.
Ecлu вы вcё жe хomите nonытаmься, тo пpедварuтeльнo сдeлайте рeзервные кoпuи фaйлов, иначe в слyчaе
иx uзменeния paсшифровка cmанеm нeвoзмoжной нu nри кaкuх уcловиях.
Ecли вы не nолyчuли отвеmа nо вышеукaзаннoмy адреcу в mеченue 48 чаcов (u moлькo в эmом случaе!),
вoспoльзyйmесь формoй обpaтной связu. Эmo можно сделamь двyмя cnocoбaмu:
1) Ckачaйme и ycтанoвuтe Tor Browser по cсылke: https://www.torproject.org/download/download-easy.html.en
В адpecнoй сmpоке Tor Browser-а введитe aдрес:
u нaжмите Enter. 3arpузитcя сmранuца с фoрмoй oбpатной связи.
2) B любом бpаyзeрe пеpeйдumе по одномy uз aдрeсов:
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
A0A3417A0347AD617E05|0
to e-mail address robertamacdonald1994@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
Install it and type the following address into the address bar:
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:

приложение: логи, вирусный архив (akt6522869.gz|)

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не прикрепляйте вредоносные и потенциально вредоносные файлы к форуму.

CollectionLog-2016.11.07-11.53 (1).zip

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
  • 3 недели спустя...
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  •  



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"

CreateRestorePoint:

CloseProcesses:

2016-11-02 08:43 - 2016-11-02 08:43 - 06220854 _____ C:\Users\Анастасия\AppData\Roaming\3B3BFBF03B3BFBF0.bmp

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README9.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README8.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README7.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README6.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README5.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README4.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README3.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README2.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Анастасия\Desktop\README10.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README9.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README8.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README7.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README6.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README5.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README4.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README3.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README2.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README10.txt

2016-11-02 08:43 - 2016-11-02 08:43 - 00004178 _____ C:\Users\Public\Desktop\README1.txt

2016-11-02 08:31 - 2016-11-03 13:47 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-02 08:31 - 2016-11-03 13:47 - 00000000 __SHD C:\ProgramData\Windows

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README9.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README8.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README7.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README6.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README5.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README4.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README3.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README2.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README10.txt

2016-11-02 08:31 - 2016-11-02 08:31 - 00004178 _____ C:\README1.txt

DeleteQuarantine: 

2016-11-07 11:42 - 2016-11-07 11:42 - 00006997 _____ C:\Users\Анастасия\Downloads\Akt6522869.gz

zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • nooky910
      [РЕШЕНО] Бесконечный вирус
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
    • SonG
      Вирус переименовывает службы
      Автор SonG
      Добрый день!  На Server 2022 (Standart) появились вирусы.
      1. Сначала был Trojan.Win32.SEPEH, но после 3-4 проверок Kaspersky Endpoint Security, пропал. В это время уже центр обновлений не работал
      2. Дальше полез в реестр и слкжбы службы. На службах wuauserv, usosvc, BITS, WaaSMedicSvc, DoSvc, wuaserv, был постфикс "_bak" (оригиналы при этом были). Удалил из под безопасного режима, прогнал антивирусом и перезапустился. Вроде больше не появлялись.
       
      Теперь центр обновлений так и не работает, но на глаз попались другие службы, где уже другие названия:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CaptureService_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cbdhsvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConsentUxUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeviceAssociationBrokerSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicePickerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicesFlowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PrintWorkflowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UdkUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UnistoreSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WpnUserService_b1e5e  
      Что делать, куда "копать" ?) 
      Физический доступ к серверу бывает раз в день (99% операций провожу под RDP)
      CollectionLog-2025.06.01-16.59.zip FRST.txt Addition.txt
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
×
×
  • Создать...