Перейти к содержанию

@WanaDecryptor@

Валерий Пименов

Автор Валерий Пименов,
в Помощь в борьбе с шифровальщиками-вымогателями

 Share Подписчики 0

Рекомендуемые сообщения

Валерий Пименов

Валерий Пименов 0

Опубликовано
  • Автор
Опубликовано (изменено)

А Вы его распаковали перед запуском?

конечно. Вот что Выдает перед тем как отключится.

Работает минут 5 - 7 и выключается, антивирус отключен, все как в порядке оформления запроса написано сделано.

А Вы его распаковали перед запуском?

Все получилось.

post-45633-0-87576600-1494747611_thumb.jpg

CollectionLog-2017.05.14-09.55.zip

Изменено пользователем Валерий Пименов
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-2161231543-2498944027-1402513221-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1404415710&from=cor&uid=ST9500325AS_5VET2A4DXXXX5VET2A4D&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404415710&from=cor&uid=ST9500325AS_5VET2A4DXXXX5VET2A4D&q={searchTerms}
HKU\S-1-5-21-2161231543-2498944027-1402513221-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404415710&from=cor&uid=ST9500325AS_5VET2A4DXXXX5VET2A4D&q={searchTerms}
HKU\S-1-5-21-2161231543-2498944027-1402513221-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}
HKU\S-1-5-21-2161231543-2498944027-1402513221-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2161231543-2498944027-1402513221-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=008E78929C966011&affID=122471&tt=280813_ctrl1&tsp=4988
SearchScopes: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=%SID%&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=008E78929C966011&affID=122471&tt=280813_ctrl1&tsp=4988
SearchScopes: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-2161231543-2498944027-1402513221-1000 -> {61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} URL = hxxp://webalta.ru/search?q={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001 -> {9E420D75-AD56-4275-87B5-D4D8F7E87419} URL = hxxp://nova.rambler.ru/search?query={searchTerms}&utm_source=r33&utm_medium=distribution&utm_content=e09&utm_campaign=3w47
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKU\S-1-5-21-2161231543-2498944027-1402513221-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2161231543-2498944027-1402513221-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2161231543-2498944027-1402513221-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2161231543-2498944027-1402513221-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iapdadaeaebaoigieglfababneoaifnf] - C:\Users\1\AppData\Roaming\Everysale\everysale-m1.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
2017-05-12 15:26 - 2017-05-12 08:59 - 00000724 _____ C:\Users\1\AppData\Local\@WanaDecryptor@.exe.lnk
2017-05-12 15:26 - 2017-01-16 17:51 - 00000000 ____D C:\Users\1\AppData\Local\Amigo
2015-04-19 12:20 - 2015-04-19 12:20 - 0005872 _____ () C:\Users\1\AppData\Roaming\3UzQxOM2GRUIzD0Juo8dh
2015-04-14 16:28 - 2015-04-14 16:28 - 0004387 _____ () C:\Users\1\AppData\Roaming\ADkcA3l7N7jidRM5yfByQAb
2015-04-14 16:28 - 2015-04-14 16:28 - 0004387 _____ () C:\Users\1\AppData\Roaming\iVqE3JBRQh8aVxgOnbEwi
2015-04-19 12:20 - 2015-04-19 12:20 - 0005872 _____ () C:\Users\1\AppData\Roaming\ynxHMzCNyPD9pnp4xxs2nb3sDAB
Task: {29AED68F-EC5E-4789-96CC-FA938CE7E021} - \CCleanerSkipUAC -> No File <==== ATTENTION
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.29.2\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2161231543-2498944027-1402513221-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\1\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Andkit
      @WanaDecryptor@ посетил и меня
      От Andkit
      Вчера около 13:00 по МСК у меня зашифровались файлы на компьютере! 
       
      После этого пк перезагрузился и рабочий стол перестал работать, вообще О_о ( судя потом, я понял что там должен был быть баннер ) 
      пришлось аварийно выключить ноут и откатить систему, после этого, я проверил пк на вирусы антивирусной утилитой AdwCleaner а потом Dr Weber Cureit - он нашел только...(прикладываю скрин)  
       
      Зашифрованные файлы имеют розширение .WNCRY 
       
      В каждой папке на диску D:\   иметься 2 файла:  
      @Please_Read_Me@.txt  ;   @WanaDecryptor@.exe (также был зашифрован и рабочий стол, но на диску С:\ только он, насколько пока мне это известно) 
       
      P.S. Никаких обновлений я пока не устанавливал, и портов не закрывал, жду следующих указаний от вас .....????

      CollectionLog-2017.05.13-20.11.zip
×
×
  • Создать...