Перейти к содержанию

Неполно сработавший шифровальщик

YOlgaI
 Поделиться

Рекомендуемые сообщения

YOlgaI

YOlgaI

Опубликовано
Опубликовано

Поймала какой-то, к счастью, "неполный" шифровальщик. Стационарный компьютер, система WIN 10 Pro, версия 1607; 64-разрядный.

 

Защита была, видимо зря, ESET Smart Security, которая отключила собственную защиту системы. Она стояла на Win7, после автоматической переустановки на Win 10 сохранилась.

 

Шифровальщик работал не так. как на ноутбуке мужа. Он очень медленно включился и оставил следы на флешке с Robofom'ом в виде Readme файлов. Я тогда не поняла, что это. Этой программой пользуемся и я, и муж. Она работает давно и проблем до сих пор не было.

 

Прошло дней пять, и эти же Readme появились на одном из разбитых дисков. Но вирус зашифровал маленькую часть папок, все остальные даже со странным значком остались действующими. Я срочно все переписала.

 

На нескольких дисках он вообще не сработал (не успел?).

 

Согласно указаниям Sendor в прошлом случае. я собрала все логи и проверки, которые и прилагаю.

 

Благодарю за помощь, Ольга

CollectionLog-2016.12.22-12.23.zip

report1.log

report2.log

Addition.txt

FRST.txt

Shortcut.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\ProgramData\Windows
Task: {7722C180-727E-4A54-8907-06610E3E5CF1} - no filepath
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
YOlgaI

YOlgaI

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\ProgramData\Windows
Task: {7722C180-727E-4A54-8907-06610E3E5CF1} - no filepath
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Прикрепляю лог-файл. Спасибо!

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здесь тоже пробуйте стандартно:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • fastheel
      Шифровальщик
      Автор fastheel
      Зашифровали сервер , сам вирус был пойман ( есть файл) и есть флаг с которым он был запущен

      update.exe   -pass e32fae18c0e1de24277c14ab0359c1b7
      Addition.txt FRST.txt u4IHZAluh.README.txt Desktop.zip
    • KOHb39
      Шифровальщик blackFL
      Автор KOHb39
      Словили этот злополучный шифровальщик.
      На одной машине удалось изолировать его ехе файл судя по дате создания, файл гулял по ПК в сети.
      Может ли это как-то помочь в расшифровке? Кому передать и каким способом?
    • Влад1810
      Шифровальщик blackFL
      Автор Влад1810
      Аналогично зашифровало, нужна помощьНовая папка.7z
      BlackField_ReadMe.txt
    • Restinn
      Шифровальщик blackFL
      Автор Restinn
      Добрый день. Помогите в расшифровке. Ночью 06.08 все зашифровал и все. В инете никакой инфы нет
      Касперский не был установлен
      Прикрепил файлы и текстовый док 
      Новая папка.rar BlackField_ReadMe.txt
    • Алексей Новиков
      Шифровальщик @gotchadec
      Автор Алексей Новиков
      Добрый день. Помогите в расшифровке  Прикрепил файлы и текстовый док 
      Fixlog.txt
      8.3.19.1522.rar
×
×
  • Создать...