Перейти к содержанию

Вчера подхватил Шифровальщик с расширением NO_MORE_RANSOME

Василий Баращук

От Василий Баращук
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Василий Баращук Новичок

Василий Баращук

Опубликовано
Опубликовано (изменено)

По почте прислали вирус, который зашифровал файлы на компьютере. Помогите расшифровать файлы пожалуйста программой  Farbar Recovery Scan Tool прошел она выдала эти файлы сейчас сканирую вашей программой KVRT скину лог

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Василий Баращук
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Василий Баращук Новичок

Василий Баращук

Опубликовано
  • Автор
Опубликовано

CollectionLog-2016.11.22-12.04.zip

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 



  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:




CreateRestorePoint:

CloseProcesses:

2016-11-21 14:50 - 2016-11-21 14:50 - 06220854 _____ C:\Users\Teplyakova_NA\AppData\Roaming\EBD93D39EBD93D39.bmp

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README9.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README8.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README7.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README6.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README5.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README4.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README3.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README2.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README10.txt

2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\ProgramData\Windows

DeleteQuarantine: 

File: C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe

C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe

Task: {E2F9857F-71C3-456B-9653-C660913CFFD3} - System32\Tasks\At1 => Rundll32.exe qxrryuiz.xc,cobcuklt <==== ATTENTION

Task: C:\Windows\Tasks\At1.job => rundll32 exe qxrryuiz xc cobcuklt NetScheduleJobAdd

zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты
Василий Баращук Новичок

Василий Баращук

Опубликовано
  • Автор
Опубликовано

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
2016-11-21 14:50 - 2016-11-21 14:50 - 06220854 _____ C:\Users\Teplyakova_NA\AppData\Roaming\EBD93D39EBD93D39.bmp
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README9.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README8.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README7.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README6.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README5.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README4.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README3.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README2.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README10.txt
2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\ProgramData\Windows
DeleteQuarantine: 
File: C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe
C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe
Task: {E2F9857F-71C3-456B-9653-C660913CFFD3} - System32\Tasks\At1 => Rundll32.exe qxrryuiz.xc,cobcuklt <==== ATTENTION
Task: C:\Windows\Tasks\At1.job => rundll32 exe qxrryuiz xc cobcuklt NetScheduleJobAdd
zip:C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Спасибо 

Ссылка на комментарий
Поделиться на другие сайты
Василий Баращук Новичок

Василий Баращук

Опубликовано
  • Автор
Опубликовано (изменено)

Помогите пожалуйста просто мы сейчас уходим от Eset smart Security на Kaspersky и принимаем решение тк их служба поддержки не сильно работает. Я сам работаю системным администратором уже закупили на серваки Касперского так же планируем переводить защиту Пользователей на Каспера а тут я покажу что вы можете это сделать и мне точно одобрят закупку если надо подтверждающие документы могу отправить подтверждение лицензии.

Изменено пользователем Василий Баращук
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

 

 

что вы можете это сделать и мне точно одобрят закупку если надо подтверждающие документы могу отправить подтверждение лицензии.

Раньше нужно было думать. 

 

А вам как к админу вопрос: 

 

 

User (S-1-5-21-1089283133-4089430199-3361968099-1000 - Administrator - Enabled) => C:\Users\User

Почему ваши пользователи сидят под админом?

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
Василий Баращук Новичок

Василий Баращук

Опубликовано
  • Автор
Опубликовано (изменено)

Этот пк сейчас стоит у меня в серверной, тк мы его отключили от сетки и тут уже творю с ним то что вы советуете. Сейчас я зашел под собой, так как при входе в ее учетку "Teplyakova_NA" у меня выскакивала ошибка при нажатии отмена она выскакивает повторно и так бесконечно. А в больницу я пришел не давно еще тут не успел все доделать 290 пк в которых тут вообще полная жесть!


и из-за этого администрацию и хочу перевести на каспера

Изменено пользователем Василий Баращук
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bruce007
      Шифровальщик с расширением fear.pw
      От Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • Юрикс
      Шифровальщик, расширение .A7V3ac
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      От Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Александр Щепочкин
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      От Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
×
×
  • Создать...