Перейти к содержанию

шифрование файлов no more ransom

Оксана Макарова

От Оксана Макарова
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1698126838-3041057561-1089411195-1002\...\Run: [mailruhomesearch] => C:\Users\Advant_Kadri\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe [3039448 2016-10-14] ()
HKU\S-1-5-21-1698126838-3041057561-1089411195-1002\...\Run: [zwmdhlwaym] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=021E91BB53896263FFE19F19283797BB&utm_d=20161014" <===== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-09 16:42 - 2016-12-09 16:54 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-12-09 16:42 - 2016-12-09 16:54 - 00000000 __SHD C:\ProgramData\Csrss
2016-12-09 16:41 - 2016-12-09 16:41 - 03148854 _____ C:\Users\Advant_Kadri\AppData\Roaming\18B2385F18B2385F.bmp
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README9.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README8.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README7.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README6.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README5.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README4.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README3.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README2.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README10.txt
2016-12-09 16:39 - 2016-12-09 16:41 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-09 16:39 - 2016-12-09 16:41 - 00000000 __SHD C:\ProgramData\System32
2016-12-09 16:05 - 2016-12-09 16:54 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-09 16:05 - 2016-12-09 16:54 - 00000000 __SHD C:\ProgramData\Windows
2016-12-09 16:04 - 2016-12-09 16:05 - 00000000 ____D C:\Users\Advant_Kadri\Downloads\0812_akt (2)
2016-10-14 19:03 - 2016-10-14 19:03 - 00000000 ____D C:\Users\Advant_Kadri\AppData\Local\Вoйти в Интeрнет
2016-10-14 18:59 - 2016-10-14 18:59 - 00000000 ____D C:\Users\Advant_Kadri\AppData\Local\Поиcк в Интeрнете
C:\Users\admin\AppData\Local\Temp\libeay32.dll
C:\Users\admin\AppData\Local\Temp\msvcr120.dll
C:\Users\admin\AppData\Local\Temp\siinst.exe
C:\Users\admin\AppData\Local\Temp\sqlite3.dll
C:\Users\admin\AppData\Local\Temp\strings.dll
C:\Users\Advant_Kadri\AppData\Local\Temp\1LEb5KHILMAi.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\493078E9.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\4E28FF06.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\AcerDocsSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\AcerPortalSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\APNSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\c0.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\coi1634.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\DBmBYthozLtc.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\oct7077.tmp.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\sWrk9xvZKfq8.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\vpypLVc2FNAJ.exe
C:\Users\Проектор\AppData\Local\Temp\oct119.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct2170.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct2AE4.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct35D2.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct8E37.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct8F6D.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octBBBC.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octC893.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octEAF6.tmp.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
Оксана Макарова Новичок

Оксана Макарова

Опубликовано
  • Автор
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1698126838-3041057561-1089411195-1002\...\Run: [mailruhomesearch] => C:\Users\Advant_Kadri\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe [3039448 2016-10-14] ()
HKU\S-1-5-21-1698126838-3041057561-1089411195-1002\...\Run: [zwmdhlwaym] => explorer "hxxp://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=021E91BB53896263FFE19F19283797BB&utm_d=20161014" <===== ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-12-09 16:42 - 2016-12-09 16:54 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2016-12-09 16:42 - 2016-12-09 16:54 - 00000000 __SHD C:\ProgramData\Csrss
2016-12-09 16:41 - 2016-12-09 16:41 - 03148854 _____ C:\Users\Advant_Kadri\AppData\Roaming\18B2385F18B2385F.bmp
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README9.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README8.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README7.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README6.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README5.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README4.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README3.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README2.txt
2016-12-09 16:41 - 2016-12-09 16:41 - 00004154 _____ C:\Users\Advant_Kadri\Desktop\README10.txt
2016-12-09 16:39 - 2016-12-09 16:41 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-09 16:39 - 2016-12-09 16:41 - 00000000 __SHD C:\ProgramData\System32
2016-12-09 16:05 - 2016-12-09 16:54 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-09 16:05 - 2016-12-09 16:54 - 00000000 __SHD C:\ProgramData\Windows
2016-12-09 16:04 - 2016-12-09 16:05 - 00000000 ____D C:\Users\Advant_Kadri\Downloads\0812_akt (2)
2016-10-14 19:03 - 2016-10-14 19:03 - 00000000 ____D C:\Users\Advant_Kadri\AppData\Local\Вoйти в Интeрнет
2016-10-14 18:59 - 2016-10-14 18:59 - 00000000 ____D C:\Users\Advant_Kadri\AppData\Local\Поиcк в Интeрнете
C:\Users\admin\AppData\Local\Temp\libeay32.dll
C:\Users\admin\AppData\Local\Temp\msvcr120.dll
C:\Users\admin\AppData\Local\Temp\siinst.exe
C:\Users\admin\AppData\Local\Temp\sqlite3.dll
C:\Users\admin\AppData\Local\Temp\strings.dll
C:\Users\Advant_Kadri\AppData\Local\Temp\1LEb5KHILMAi.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\493078E9.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\4E28FF06.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\AcerDocsSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\AcerPortalSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\APNSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\c0.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\coi1634.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\DBmBYthozLtc.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\oct7077.tmp.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\sWrk9xvZKfq8.exe
C:\Users\Advant_Kadri\AppData\Local\Temp\vpypLVc2FNAJ.exe
C:\Users\Проектор\AppData\Local\Temp\oct119.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct2170.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct2AE4.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct35D2.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct8E37.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\oct8F6D.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octBBBC.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octC893.tmp.exe
C:\Users\Проектор\AppData\Local\Temp\octEAF6.tmp.exe
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

AV: Avast Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку своего антивируса.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...