Вчера подхватил Шифровальщик с расширением NO_MORE_RANSOME

22 ноября, 2016

По почте прислали вирус, который зашифровал файлы на компьютере. Помогите расшифровать файлы пожалуйста программой Farbar Recovery Scan Tool прошел она выдала эти файлы сейчас сканирую вашей программой KVRT скину лог

Addition.txt

FRST.txt

Shortcut.txt

Изменено 22 ноября, 2016 пользователем Василий Баращук

22 ноября, 2016

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

22 ноября, 2016

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

CollectionLog-2016.11.22-12.04.zip

Addition.txt

FRST.txt

Shortcut.txt

22 ноября, 2016

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:

CloseProcesses:

2016-11-21 14:50 - 2016-11-21 14:50 - 06220854 _____ C:\Users\Teplyakova_NA\AppData\Roaming\EBD93D39EBD93D39.bmp

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README9.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README8.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README7.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README6.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README5.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README4.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README3.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README2.txt

2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README10.txt

2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\Users\Все пользователи\Windows

2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\ProgramData\Windows

DeleteQuarantine: 

File: C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe

C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe

Task: {E2F9857F-71C3-456B-9653-C660913CFFD3} - System32\Tasks\At1 => Rundll32.exe qxrryuiz.xc,cobcuklt <==== ATTENTION

Task: C:\Windows\Tasks\At1.job => rundll32 exe qxrryuiz xc cobcuklt NetScheduleJobAdd

zip:C:\FRST\Quarantine

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

22 ноября, 2016

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
2016-11-21 14:50 - 2016-11-21 14:50 - 06220854 _____ C:\Users\Teplyakova_NA\AppData\Roaming\EBD93D39EBD93D39.bmp
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README9.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README8.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README7.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README6.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README5.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README4.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README3.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README2.txt
2016-11-21 14:50 - 2016-11-21 14:50 - 00004154 _____ C:\Users\Teplyakova_NA\Desktop\README10.txt
2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-21 14:28 - 2016-11-21 14:28 - 00000000 __SHD C:\ProgramData\Windows
DeleteQuarantine: 
File: C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe
C:\Users\Teplyakova_NA\AppData\Local\Temp\212DE9BB.exe
Task: {E2F9857F-71C3-456B-9653-C660913CFFD3} - System32\Tasks\At1 => Rundll32.exe qxrryuiz.xc,cobcuklt <==== ATTENTION
Task: C:\Windows\Tasks\At1.job => rundll32 exe qxrryuiz xc cobcuklt NetScheduleJobAdd
zip:C:\FRST\Quarantine
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Спасибо

23 ноября, 2016

Отчет где?

23 ноября, 2016

Архив загрузил через форму на сайте.

Fixlog.txt

Изменено 23 ноября, 2016 пользователем Василий Баращук

23 ноября, 2016

AV: ESET Smart Security 8.0 (Enabled - Out of date) {19259FAE-8396-A113-46DB-15B0E7DFA289}

За расшифровкой обращайтесь к своему вендору.

23 ноября, 2016

Помогите пожалуйста просто мы сейчас уходим от Eset smart Security на Kaspersky и принимаем решение тк их служба поддержки не сильно работает. Я сам работаю системным администратором уже закупили на серваки Касперского так же планируем переводить защиту Пользователей на Каспера а тут я покажу что вы можете это сделать и мне точно одобрят закупку если надо подтверждающие документы могу отправить подтверждение лицензии.

Изменено 23 ноября, 2016 пользователем Василий Баращук

23 ноября, 2016

что вы можете это сделать и мне точно одобрят закупку если надо подтверждающие документы могу отправить подтверждение лицензии.

Раньше нужно было думать.

А вам как к админу вопрос:

User (S-1-5-21-1089283133-4089430199-3361968099-1000 - Administrator - Enabled) => C:\Users\User

Почему ваши пользователи сидят под админом?

Изменено 23 ноября, 2016 пользователем mike 1

23 ноября, 2016

Этот пк сейчас стоит у меня в серверной, тк мы его отключили от сетки и тут уже творю с ним то что вы советуете. Сейчас я зашел под собой, так как при входе в ее учетку "Teplyakova_NA" у меня выскакивала ошибка при нажатии отмена она выскакивает повторно и так бесконечно. А в больницу я пришел не давно еще тут не успел все доделать 290 пк в которых тут вообще полная жесть!

и из-за этого администрацию и хочу перевести на каспера

Изменено 23 ноября, 2016 пользователем Василий Баращук

23 ноября, 2016

Этой модификации шифровальщика Shade от силы пару дней. Расшифровки на данный момент попросту нет.

Вчера подхватил Шифровальщик с расширением NO_MORE_RANSOME

Рекомендуемые сообщения

Василий Баращук

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Василий Баращук

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Василий Баращук

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Василий Баращук

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Василий Баращук

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Василий Баращук

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum