leofon Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 (изменено) Добрый день. [/size] Пришло письмо в виде уведомления о посылке на личную почту mail.ru: [/size] ОТ: Hae Vanderwal <voda332008@yandex.ru> [/size] Получена накладная от регионального агента, курьерской службой DHL. [/size] Номер посылки: 55381623630004INT-Пересылка. [/size] Дата прибытия: 1/13/2017 [/size] Время прибытия: 18:37:22 [/size] Получена накладная от регионального агента, курьерской службой DHL. [/size] Номер посылки: 55381623630004INT-Пересылка. [/size] Дата прибытия: 1/13/2017 [/size] Время прибытия: 18:37:22 [/size] http://intacto-service.ru/fonts/Lato...d=vvgy4xmr405q [/size] с по ссылке качается файл, после открытия файлы зашифровались с расширением .no_more_ransom[/size] virus.zip - Сам вирус шифровальщик, пароль от архива 12345[/size] files_analyz.zip - Архив с зашифрованными файлами.[/size] Прошу помочь с расшифровкой.[/size] CollectionLog-2017.01.16-14.53.zip files_analyz.zip Изменено 16 января, 2017 пользователем Sandor Убрал подозрительный файл Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 16 января, 2017 Share Опубликовано 16 января, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RebootWindows(false); end. Компьютер перезагрузится. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
leofon Опубликовано 17 января, 2017 Автор Share Опубликовано 17 января, 2017 Прикрепляю отчеты Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 Утилиты следует запускать от имени администратора Ran by bukina (ATTENTION: The user is not administrator)Переделайте, пожалуйста. Ссылка на комментарий Поделиться на другие сайты More sharing options...
leofon Опубликовано 17 января, 2017 Автор Share Опубликовано 17 января, 2017 Переделал Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2017-01-13 11:06 - 2017-01-13 11:06 - 03133494 _____ C:\Users\bukina\AppData\Roaming\E56521FCE56521FC.bmp 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README9.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README8.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README7.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README6.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README5.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README4.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README3.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README2.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README10.txt 2017-01-13 11:06 - 2017-01-13 11:06 - 00004186 _____ C:\Users\bukina\Desktop\README1.txt 2017-01-13 10:45 - 2017-01-13 13:47 - 00000000 __SHD C:\Users\Все пользователи\Windows 2017-01-13 10:45 - 2017-01-13 13:47 - 00000000 __SHD C:\ProgramData\Windows 2017-01-13 10:45 - 2017-01-13 10:45 - 00953670 _____ C:\Users\bukina\AppData\RoamingZjQ31.exe Reboot: endи сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
leofon Опубликовано 17 января, 2017 Автор Share Опубликовано 17 января, 2017 Готово Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 17 января, 2017 Share Опубликовано 17 января, 2017 С расшифровкой помочь не сможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти