Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Очередной "no_more_ransom" шифровальщик

Dmitriy S
 Поделиться

Рекомендуемые сообщения

Dmitriy S

Dmitriy S

Опубликовано
Опубликовано

Доброго времени суток.

Подхватили этого шифровальщика в электронном письме от якобы провайдера, благо пострадали файлы только на одной машине, на которой открывали письмо. Почитав темы понял, что надеяться на расшифровку файлов бессмысленно, но удалить эту заразу очень хочется. Был установлен антивирус ESET Endpoint Antivirus 5.0, но он даже звука не издал.
 

До конца рабочего дня успел скачать FRST, и произвести сканирование, логи прилагаются.

Addition.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-2929011121-2901386438-4270122892-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2929011121-2901386438-4270122892-1002 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
2016-12-02 10:12 - 2016-12-02 10:12 - 03932214 _____ C:\Users\Жанна\AppData\Roaming\2A7B0CF22A7B0CF2.bmp
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README9.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README8.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README7.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README6.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README5.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README4.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README3.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README2.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README10.txt
2016-12-02 10:12 - 2016-12-02 10:12 - 00004170 _____ C:\Users\Жанна\Desktop\README1.txt
2016-12-02 09:36 - 2016-12-02 09:44 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-02 09:36 - 2016-12-02 09:44 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\ux\AppData\Local\temp\siinst.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Dmitriy S

Dmitriy S

Опубликовано
  • Автор
Опубликовано (изменено)

Выполнил скрипт. Лог прикреплен.

Fixlog.txt

Изменено пользователем Dmitriy S
Sandor

Sandor

Опубликовано
Опубликовано

Следы вымогателя очищены. С расшифровкой помочь не сможем.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...