Ганс Опубликовано 12 декабря, 2016 Опубликовано 12 декабря, 2016 (изменено) На компьютере был переход по ссылке в письме и еще был скачан и открыт скрипт из архива, не знаю после какого события сработал этот блокировщик. Я проверил компьютер программами Cureit и KVRT, удалил вирусные файлы, проверил автологгером. Но все документы зашифрованы. Во многих местах создано по 10 файлов readme.txt со следующим содержанием: readme1.txt: Bаши фaйлы былu зашuфрованы. Чmoбы pаcшuфроваmь uх, Bам нeобходимo oтпpавuть koд: 9F4FE9E96179490CB247|0 нa электpонный aдpeс Novikov.Vavila@gmail.com . Дaлеe вы noлyчите все необхoдимые инcmрукцuи. Пonыmkи pacшuфроваmь сaмocтoятельно не пpuведуm ни к чeму, kромe безвoзврamнoй поmepu uнфopмaцuu. Eслu вы вcё же xomuте попыmaться, тo пpeдвариmeльнo сделaйmе рeзeрвные kоnuu файлoв, иначe в слyчаe uх изменeнuя раcшифрoвka cmaнеm невoзможнoй ни npu kakuх услoвиях. Если вы не nолyчилu оmвеma по вышеyказанномy адpeсy в течeнuе 48 чacoв (u mольkо в эmом случае!), вocnользyйmеcь фоpмой обpaтной связu. Это можнo сдeлaть двумя спoсoбами: 1) Скaчайте и усmановume Tor Browser nо ccылke: https://www.torproject.org/download/download-easy.html.en B aдpeсной cтрокe Tor Browser-a введите адpес: http://cryptsen7fo43rr6.onion/ u нaжмuте Enter. Заrрузиmcя cтpaницa с фopмой oбратной cвязu. 2) В любом бpayзeре пеpeйдиme nо одному uз адрeсов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ В файл hosts были добавлены ссылки: 61.129.115.198 www.xldd.com 61.129.115.198 www.ojiang.com 61.129.115.198 www.shuixian.net 61.129.115.198 www.xlarea.com Все файлы зашифрованы с расширением .no_more_ransom, я попытался расшифровать их утилитами RectorDecryptor и XoristDecryptor, не получилось, RakhniDecryptor их вообще не видит. Есть шанс расшифровать эти файлы? В системных папках были вирусные файлы "csrss.exe" Я их заархивировал, прикрепил сюда. CollectionLog-2016.12.12-09.55.zip Изменено 12 декабря, 2016 пользователем Sandor Убрал карантин
Sandor Опубликовано 12 декабря, 2016 Опубликовано 12 декабря, 2016 Здравствуйте! Есть шанс расшифровать эти файлы?Практически - нет. Для очистки следов дополнительно: Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Ганс Опубликовано 12 декабря, 2016 Автор Опубликовано 12 декабря, 2016 Сделал FRST.txt Addition.txt Shortcut.txt
Sandor Опубликовано 12 декабря, 2016 Опубликовано 12 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKU\S-1-5-21-3081571122-917982783-996133541-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-3081571122-917982783-996133541-1003 -> No Name - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No File Toolbar: HKU\S-1-5-21-3081571122-917982783-996133541-1003 -> No Name - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - No File CHR HomePage: Default -> hxxp://mail.ru CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms} CHR DefaultSearchKeyword: Default -> go.mail.ru CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} CHR Extension: (Яндекс) - C:\Documents and Settings\Бухгалтер 2\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk [2016-12-06] CHR Extension: (No Name) - C:\Documents and Settings\Бухгалтер 2\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2016-11-01] 2016-12-09 16:27 - 2016-12-12 09:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss 2016-12-09 16:27 - 2016-12-09 16:27 - 03932214 _____ C:\Documents and Settings\Бухгалтер 2\Application Data\D0BFE451D0BFE451.bmp 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README9.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README8.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README7.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README6.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README5.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README4.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README3.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README2.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README10.txt 2016-12-09 16:04 - 2016-12-09 16:04 - 00004154 _____ C:\README1.txt 2016-12-09 16:03 - 2016-12-12 09:45 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.
Ганс Опубликовано 13 декабря, 2016 Автор Опубликовано 13 декабря, 2016 Этот запрос можно будет создать после приобретения любого из продуктов?
Ганс Опубликовано 13 декабря, 2016 Автор Опубликовано 13 декабря, 2016 Ну я там и прочитал об этом. Заявку можно только на один файл подать или на много файлов?
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти