Перейти к содержанию

Подхватил шифровальщик doc xls

dmikl
 Share

Рекомендуемые сообщения

dmikl Новичок

dmikl

Опубликовано
Опубликовано (изменено)

Открыли файл в письме,  зашифровал все файлы doc и xls, размер сохранился, дата у всех одна и та же.

в свойствах папок на рабочем столе следующая информация: 

 

C:\Windows\system32\cmd.exe /c start explorer.exe "Users" & type "4db88aebcb19841572.exe" > "%temp%\4db88aebcb19841572.exe" && "%temp%\4db

 

логи Farbar Recovery Scan Too во вложении

CollectionLog-2017.04.21-14.38.zip

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем dmikl
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
Startup: C:\Users\adm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU0AB-60FOF-KTKRF-TZTZT-GGOHT-REZYY.html [2017-04-21] ()
Startup: C:\Users\Галина Ивановна\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RU60B-14FOR-XTEKK-TZTZT-GFFOT-RGFYY.html [2017-04-21] ()
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2017-04-21 13:38 - 2017-04-21 13:38 - 00016664 _____ C:\Users\adm\RU0AB-60FOF-KTKRF-TZTZT-GGOHT-REZYY.html
2017-04-21 13:38 - 2017-04-21 13:38 - 00016664 _____ C:\Users\adm\Desktop\RU0AB-60FOF-KTKRF-TZTZT-GGOHT-REZYY.html
2017-04-21 13:38 - 2017-04-21 13:38 - 00016664 _____ C:\Users\adm\AppData\Roaming\RU0AB-60FOF-KTKRF-TZTZT-GGOHT-REZYY.html
2017-04-21 13:38 - 2017-04-21 13:38 - 00016664 _____ C:\RU0AB-60FOF-KTKRF-TZTZT-GGOHT-REZYY.html
2017-04-21 13:37 - 2017-04-21 13:40 - 02553560 _____ C:\Users\adm\AppData\Roaming\1894816133
2017-04-21 10:52 - 2017-04-21 10:52 - 00016664 _____ C:\Users\Галина Ивановна\RU60B-14FOR-XTEKK-TZTZT-GFFOT-RGFYY.html
2017-04-21 10:52 - 2017-04-21 10:52 - 00016664 _____ C:\Users\Галина Ивановна\AppData\Roaming\RU60B-14FOR-XTEKK-TZTZT-GFFOT-RGFYY.html
2017-04-21 10:51 - 2017-04-21 11:18 - 02528520 _____ C:\Users\Галина Ивановна\AppData\Roaming\1894816133
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Qray
      После активации системы кмс активатором подхватил майнера
      От Qray
      Здравствуйте, недавно слетела активация виндовс 10 и я как обычно скачал кмс активатор с того же сайта, с которого скачивал и до этого. Система активировалась, все хорошо. Сегодня заметил, что компьютер в простое сильно шумит. А именно куллер видеокарты. Зашел в диспетчер задач - загрузка цп и гп обычная, но температура гп около 67 градусов. (ранее при активации системы кмсом такого не наблюдалось) Далее начали провялятся другие интересные симптомы: При попытке поиска информации об удалении вируса тупо закрывается эдж, также через некоторое время закрывается диспетчер задач и почти сразу начинается нагрев. Поискав информацию в интернете на другом пк наткнулся на эту тему, прочитал порядок оформления запроса о помощи делаю все по инструкции (пытаюсь по крайней мере) Скачал автологгер, запустил процесс, получил нужный файл. Но при этом перезагрузка системы не происходила (система 64 бит виндовс 10) 
      Приклепляю файлы из автолггера и FRST. Помогите пожалуйста 🥺
      CollectionLog-2024.12.29-14.21.zip Addition.txt FRST.txt
    • Александр94
      Шифровальщик
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • WhySpice
      Шифровальщик cyberfear
      От WhySpice
      Утром снесло домашний сервер с открытым вне RDP. Зашифровало абсолютно все, все мои рабочие проекты, python скрипты, виртуалки vmware/virtualbox

      Зашифрованный файл: https://cloud.mail.ru/public/qDiR/yEN8ogSZJ
      Addition_06-01-2025 15.06.34.txt FRST_06-01-2025 15.01.14.txt
      README.txt
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • BOBO
      Шифровальщик WantToCry
      От BOBO
      Попросили создать новую тему не знаю почему ту закрыли вот создаю. Меня тоже взломали 25 числа hdd весит на роутере, smb открыт был. Покапалься в файлах были несколько оригинальных файлов и вроде шифрование AES в режиме ECB. Встал вопрос можно ли найти ключ шифрования если например нашел зашифрованный блок пробелов 16 байт. 
×
×
  • Создать...