Vitaliy Arbuzov 0 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 Добрый день! Случилось не очень приятное событие - шифровальщик перекодировал все файлы и они теперь не открываются. Отчеты из FRST прикрепляю к посту. Очень прошу помощи. Благодарю. Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Ссылка на сообщение Поделиться на другие сайты
Vitaliy Arbuzov 0 Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Спасибо за ссылку. Выкладываю отчеты. https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Подскажите, от меня нужна ещё какая-либо информация? Возможно пример зашифрованного файла? CollectionLog-2016.11.29-16.34.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exeАнтивирус не удалял этот файл? ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3484740254-580438617-1479064105-1001\...\Run: [**gqrgnhmzgq<*>] => "C:\Users\Dexp-PC\AppData\Local\0dcc1d\fef0f1.bat" <===== ATTENTION (Value Name with invalid characters) HKU\S-1-5-21-3484740254-580438617-1479064105-1001\...\Run: [11a489eb] => C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exe HKU\S-1-5-21-3484740254-580438617-1479064105-1001\Software\Classes\ac5768: "C:\WINDOWS\system32\mshta.exe" "javascript:zW8Uc3="rpYk7";g4A=new ActiveXObject("WScript.Shell");hTYZ7Kbf="FmnxYuv";h8rwO8=g4A.RegRead("HKCU\\software\\rhnkcizp\\iorhejef");v8IaG3="QwsuJeO";eval(h8rwO8);ce6YQ="h037CcU";" <===== ATTENTION C:\Users\Dexp-PC\AppData\Local\0dcc1d Folder: C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
Vitaliy Arbuzov 0 Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exeАнтивирус не удалял этот файл? ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: CloseProcesses: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3484740254-580438617-1479064105-1001\...\Run: [**gqrgnhmzgq<*>] => "C:\Users\Dexp-PC\AppData\Local\0dcc1d\fef0f1.bat" <===== ATTENTION (Value Name with invalid characters) HKU\S-1-5-21-3484740254-580438617-1479064105-1001\...\Run: [11a489eb] => C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exe HKU\S-1-5-21-3484740254-580438617-1479064105-1001\Software\Classes\ac5768: "C:\WINDOWS\system32\mshta.exe" "javascript:zW8Uc3="rpYk7";g4A=new ActiveXObject("WScript.Shell");hTYZ7Kbf="FmnxYuv";h8rwO8=g4A.RegRead("HKCU\\software\\rhnkcizp\\iorhejef");v8IaG3="QwsuJeO";eval(h8rwO8);ce6YQ="h037CcU";" <===== ATTENTION C:\Users\Dexp-PC\AppData\Local\0dcc1d Folder: C:\FRST\Quarantine Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Нет, антивирус не удалял файл C:\Users\Dexp-PC\AppData\Roaming\Microsoft\Crypto\syscop.exe Фикслог в приложении. Каким образом можно восстановить файлы? Благодарю за ответ. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 Для начала бы понять, чем зашифрованы файлы. Прикрепите к сообщению C:\Users\Dexp-PC\Desktop\Your files are locked !.txt + Вспоминайте что запускали. Ссылка на сообщение Поделиться на другие сайты
Vitaliy Arbuzov 0 Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 Для начала бы понять, чем зашифрованы файлы. Прикрепите к сообщению C:\Users\Dexp-PC\Desktop\Your files are locked !.txt + Вспоминайте что запускали. Файл прикрепил. Из исполняемых файлов ничего не запускал накануне беды, кроме установочник jivosite.ru Благодарю за соучастие и помощь в проблеме. Your files are locked !.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 29 ноября, 2016 Share Опубликовано 29 ноября, 2016 Что-то все таки похоже запускали. В общем, файлы зашифрованы с помощью Ransomware PCLOCK 3 версии. Думаю в техподдержке помогут с ним. Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525 Ссылка на сообщение Поделиться на другие сайты
Vitaliy Arbuzov 0 Опубликовано 29 ноября, 2016 Автор Share Опубликовано 29 ноября, 2016 Что-то все таки похоже запускали. В общем, файлы зашифрованы с помощью Ransomware PCLOCK 3 версии. Думаю в техподдержке помогут с ним. Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525 Большое Вам спасибо за помощь! Очень рад, что в наше время ещё есть такие небезучастные люди. Благодарю за посильную помощь! Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти