Tray Опубликовано 13 декабря, 2016 Share Опубликовано 13 декабря, 2016 (изменено) Добрый день! Бухгалтер получил письмо о долгах по налогам, прошел по ссылке и схватил вирус, который зашифровал на компьютере файлы. Файлы теперь называются следующим образом:0MRRecIEfKBdze3MvvKaLOkn-mlwjAOl6u2+6WCLLbzm5XusIJTeKu1d7P6HihYl.4FA9D92ABB00CC1EAB54.no_more_ransom Вместе с зашифрованными файлами в папках разместились 10 одинаковых текстовых файлов с контентом: Чтoбы pасшифpовать их, Bам неoбхoдимо оmnpaвumь koд: 4FA9D92ABB00CC1EAB54|775|6|2 нa элекmрoнный адрес Novikov.Vavila@gmail.com . Далеe вы noлучuтe все необходимыe инcmрyкцuи. Поnыmku paсшuфpoваmь cамoстoяmельнo не пpивeдут нu k чемy, kрoме бeзвoзврamнoй nomери uнфoрмaцuи. Еcли вы всё жe xoтиmе попыmaться, mo прeдвapиmeльнo сделайтe pезepвныe кonии файлoв, uнaче в случae их uзменeния расшифpoвka cтaнеm невoзмoжнoй ни пpu какux yслoвиях. Ecли вы нe получили ответа по вышeукaзанномy адpеcy в meчeнue 48 чаcoв (и тольkо в эmoм cлучae!), восnoльзyйтecь фoрмoй обраmной cвязи. Эmо можнo сделаmь двумя cпосoбaми: 1) Cкачайтe u уcтaновиmе Tor Browser no ссылке: https://www.torproject.org/download/download-easy.html.en B aдpeснoй стрoке Tor Browser-a ввeдиme адpес: http://cryptsen7fo43rr6.onion/ u нaжмuте Enter. Загpузuтся сmраницa с фoрмoй обрaтнoй связи. 2) В любом бpаyзеpе nеpeйдuте по oднoмy из адреcoв: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ По инструкции собрал логи, они во вложении. CollectionLog-2016.12.13-13.51.zip AdwCleanerS0.txt Addition.txt FRST.txt README1.txt Изменено 13 декабря, 2016 пользователем Tray Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 декабря, 2016 Share Опубликовано 13 декабря, 2016 Здравствуйте! 1. Через Панель управления - Удаление программ - удалите нежелательное ПО: Auslogics BoostSpeed 7 2. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 3. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Tray Опубликовано 13 декабря, 2016 Автор Share Опубликовано 13 декабря, 2016 Спасибо за оперативность! Выполнил все пункты, отчеты прилагаю. Здравствуйте!1. Через Панель управления - Удаление программ - удалите нежелательное ПО: Auslogics BoostSpeed 7 2. Файл CheckBrowserLnk.logиз папки...\AutoLogger\CheckBrowserLnkперетащите на утилиту ClearLNK.Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.3. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Политики IE Политики Chromeи нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.Подробнее читайте в этом руководстве. AdwCleanerC0.txt AdwCleanerS0.txt AdwCleanerS1.txt ClearLNK-13.12.2016_14-46.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 декабря, 2016 Share Опубликовано 13 декабря, 2016 Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Tray Опубликовано 13 декабря, 2016 Автор Share Опубликовано 13 декабря, 2016 Выполнил Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 декабря, 2016 Share Опубликовано 13 декабря, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2016-12-08 11:55 - 2016-12-09 14:18 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Csrss 2016-12-08 10:38 - 2016-12-08 11:55 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\System32 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README9.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README8.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README7.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README6.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README5.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README4.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README3.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README2.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README10.txt 2016-12-08 10:38 - 2016-12-08 10:38 - 00004178 _____ C:\README1.txt 2016-12-08 10:27 - 2016-12-09 14:18 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows Task: C:\WINDOWS\Tasks\Auslogics BoostSpeed Integrator Scan and Repair.job => C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe Task: C:\WINDOWS\Tasks\Auslogics BoostSpeed Integrator Start On Пользователь Logon.job => C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe AlternateDataStreams: C:\Documents and Settings\Пользователь\Local Settings\Application Data:wa [146] Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Tray Опубликовано 13 декабря, 2016 Автор Share Опубликовано 13 декабря, 2016 Сделал Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 13 декабря, 2016 Share Опубликовано 13 декабря, 2016 Адварь и следы вымогателя очищены. С расшифровкой помочь не сможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Tray Опубликовано 13 декабря, 2016 Автор Share Опубликовано 13 декабря, 2016 спасибо Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти