Перейти к содержанию

Подозрение на шифровальщик


Рекомендуемые сообщения

На компьютере появились файлы README1, README2 и т.д. с содержанием:

 

Вaши фaйлы были зашифрoваны.
Чтобы рaсшифровamь uх, Вaм неoбходuмо отnpавить kод:
3D27DFD9BDB3720F3310|0
нa элекmрoнный адpeс Lukyan.Sazonov26@gmail.com .
Далеe вы noлyчuтe все нeобхoдuмые uнсmрукцuu.
Поnыmkи pаcшифрoвать cамосmoяmельно нe npиведyт ни к чeму, kpомe безвoзвpаmной пomерu uнформацuu.
Если вы всё жe хоmите noпыmaтьcя, то nрeдвapиmельно сделaйmе резеpвные kоnиu файлов, иначе в cлучaе
uх измененuя раcшифрoвкa станеm невозмoжнoй нu npu кaкиx yсловuях.
Еcли вы нe полyчuлu ответа nо вышeуkазaнному aдpесy в meченue 48 чаcов (и тoлькo в этом cлyчаe!),
воcпользyйтecь фopмой обpаmной cвязu. Этo можнo сдeлаmь двумя сnoсобaми:
1) Скачaйme u уcmановитe Tor Browser nо ccылкe: https://www.torproject.org/download/download-easy.html.en
В адpeсной сmpokе Tor Browser-a ввeдume адрес:
и нaжмиmе Enter. 3аrрyзиmся cmранuца c фopмой oбраmнoй cвязи.
2) B любом брaузере перeйдuтe nо однoмy uз aдpесов:
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
3D27DFD9BDB3720F3310|0
to e-mail address Lukyan.Sazonov26@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.
If you still want to try to decrypt them by yourself please make a backup at first because
the decryption will become impossible in case of any changes inside the files.
If you did not receive the answer from the aforecited email for more than 48 hours (and only in this case!),
use the feedback form. You can do it by two ways:
1) Download Tor Browser from here:
Install it and type the following address into the address bar:
Press Enter and then the page with feedback form will be loaded.
2) Go to the one of the following addresses in any browser:

 

 

Заметили после того, как юзер открыл подозрительный файл, полученный по почте. Также на ПК были обнаружены следы от других вредоносных программ, например, на локальном диске есть папка pchd, связанная с вредоносом типа ransomware. 

CollectionLog-2017.03.18-17.26.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Отчета Addition.txt не было

Это значит, что нужный флажок не установили и придется переделывать сбор логов

 

На компьютере появились файлы README1, README2

Ни одного подобного файла в логах не видно
Ссылка на комментарий
Поделиться на другие сайты

Поставил флажок. Все отчёты на месте.

 


Ни одного подобного файла в логах не видно
Однако эти файлы есть. Сейчас посмотрел, их дата создания 14.11.2016

FRST.zip

Ссылка на комментарий
Поделиться на другие сайты

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKU\S-1-5-21-1287897111-378964587-430327425-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://webalta.ru
SearchScopes: HKU\S-1-5-21-1287897111-378964587-430327425-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=PTV2&o=15851&src=kw&q={searchTerms}&locale=ru_RU&apn_ptnrs=^H3&apn_dtid=^YYYYYY^YY^RU&apn_uid=C25E66E8-EBD5-474C-B3AC-FA9F0FF987F3&apn_sauid=5BFBCBCF-9465-4558-BC76-5546D5D0E921
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1287897111-378964587-430327425-1000 -> No Name - {DE9C389F-3316-41A7-809B-AA305ED9D922} -  No File
Toolbar: HKU\S-1-5-21-1287897111-378964587-430327425-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1287897111-378964587-430327425-1000 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} -  No File
Toolbar: HKU\S-1-5-21-1287897111-378964587-430327425-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKU\S-1-5-21-1287897111-378964587-430327425-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Handler: AutorunsDisabled - {91774881-D725-4E58-B298-07617B9B86A8} -  No File
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\aul6ovbr.default-1398699213115 -> Ask.com
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\aul6ovbr.default-1398699213115 -> Ask.com
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKU\S-1-5-21-1287897111-378964587-430327425-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\13113\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • asmonekus
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • Nesquik
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • super__feya
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
    • SuPeR_1
      Автор SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • Snak3EyeS92
      Автор Snak3EyeS92
      Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.
      Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.
      Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?


      CollectionLog-2025.03.15-19.18.zip
×
×
  • Создать...