Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Добрый день. У моей соседки приключилась беда, поймала она этот самый вирус с подписью onion. Попал он к ней еще 11 мая, по ее словам ей пришло письмо из США, она его открыла и после этого у нее перестали работать все браузеры. Ноут она мне принесла только вчера, Вчера я и выяснил что ноут был подвержен атаке вируса-шифровальщика OPION. Ценного на ноуте особо ничего не было, кроме архива фотографий за последние лет 5. Самостоятельно я так и не смог разобраться как дешифровать все ее фотографии и возможно ли это вообще, поэтому и решил обратится на этот форум. Касперским ноут проверил, лог сделал и к этому сообщению прикрепляю. Надеюсь на любую помощь в раскодировании фотоархива. P.S. Если на данный момент нет способов раскодировать файлы, то можно ли их как-то сохранить на будущее и надеяться что рано или поздно будет придуман способ который позволит декодировать файлы подверженные данному вирусу.

CollectionLog-2017.05.22-16.02.zip

Изменено пользователем dog5542
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\content defender\nss\certutil.exe','');
 QuarantineFile('C:\Program Files\content defender\nfregdrv.exe','');
 QuarantineFile('C:\Program Files\content defender\libeay32.dll','');
 QuarantineFile('C:\Program Files\content defender\import_root_cert.exe','');
 QuarantineFile('C:\Program Files\content defender\contentdefenderps.dll','');
 QuarantineFile('C:\Program Files\content defender\condefclean.exe','');
 QuarantineFile('C:\Windows\Fonts\wuauser.exe0','');
 DeleteFile('C:\Windows\Fonts\wuauser.exe0','32');
 DeleteFile('C:\Program Files\content defender\condefclean.exe','32');
 DeleteFile('C:\Program Files\content defender\contentdefenderps.dll','32');
 DeleteFile('C:\Program Files\content defender\import_root_cert.exe','32');
 DeleteFile('C:\Program Files\content defender\libeay32.dll','32');
 DeleteFile('C:\Program Files\content defender\nfregdrv.exe','32');
 DeleteFile('C:\Program Files\content defender\nss\certutil.exe','32');
 DeleteFile('C:\Program Files\content defender\nss\mozcrt19.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\nspr4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\nss3.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\plc4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\plds4.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\smime3.dll','32');
 DeleteFile('C:\Program Files\content defender\nss\softokn3.dll','32');
 DeleteFile('C:\Program Files\content defender\ssleay32.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Опубликовано

Спасибо. Все сделал и отправил. Жду ответа. Ответ выложу сюда.

KLAN-6283110451

Пришёл ответ.

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

certutil.exe

libeay32.dll

import_root_cert.exe

 

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:

nfregdrv.exe - not-a-virus:NetTool.Win32.NetFilter.h

contentdefenderps.dll - not-a-virus:NetTool.Win32.NetFilter.h

condefclean.exe - not-a-virus:NetTool.Win32.NetFilter.h

 

В следующих файлах обнаружен вредоносный код:

wuauser.exe0 - Trojan.Win32.Miner.azg

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Опубликовано

До конца дочитывайте

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Опубликовано

Не дочитал... Дико дико извиняюсь... Вечером сделаю лог новый. Я на работе, а ноутбук на дома.

Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKLM\...\Run: [ZaxarGameBrowser] => "C:\Program Files\Zaxar\ZaxarGameBrowser.exe" -s
HKLM\...\Run: [ZaxarLoader] => "C:\Program Files\Zaxar\ZaxarLoader.exe" /verysilent
HKLM\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe"
HKU\S-1-5-21-1903295718-3488657593-3376769418-1000\...\Run: [amigo] => C:\Users\Оля\AppData\Local\Amigo\Application\amigo.exe [930280 2017-04-14] (Mail.Ru)
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1903295718-3488657593-3376769418-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-1903295718-3488657593-3376769418-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM\...\Chrome\Extension: [hakdifolhalapjijoafobooafbilfakh] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\ChromeExt\online_banking_chrome.crx <not found>
CHR HKLM\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjldcfjmnllhmgjclecdnfampinooman] - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2013\ChromeExt\ab.crx <not found>
2017-05-11 15:34 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Оля\AppData\Roaming\Searcher
2017-05-11 15:26 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Оля\AppData\Local\eDGfrDNwTDY
2017-05-11 15:26 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Оля\AppData\Local\cache
2017-05-11 15:23 - 2016-02-24 21:43 - 00000000 ____D C:\Users\Все пользователи\tWoCoSPe
2017-05-11 15:23 - 2016-02-24 21:43 - 00000000 ____D C:\ProgramData\tWoCoSPe
2017-05-11 15:23 - 2016-02-22 21:39 - 00000000 ____D C:\Users\Все пользователи\pNBFoQooLJmQOxQ
2017-05-11 15:23 - 2016-02-22 21:39 - 00000000 ____D C:\ProgramData\pNBFoQooLJmQOxQ
2017-05-11 15:23 - 2016-02-21 17:26 - 00000000 ____D C:\Users\Все пользователи\ySCDep
2017-05-11 15:23 - 2016-02-21 17:26 - 00000000 ____D C:\ProgramData\ySCDep
2017-05-11 15:23 - 2016-02-20 21:24 - 00000000 ____D C:\Users\Все пользователи\oCAhSiEdaS
2017-05-11 15:23 - 2016-02-20 21:24 - 00000000 ____D C:\ProgramData\oCAhSiEdaS
2017-05-11 15:23 - 2016-02-19 20:49 - 00000000 ____D C:\Users\Все пользователи\XZeajBTUlS
2017-05-11 15:23 - 2016-02-19 20:49 - 00000000 ____D C:\ProgramData\XZeajBTUlS
2017-05-11 15:23 - 2016-02-17 21:56 - 00000000 ____D C:\Users\Все пользователи\oBVtnMVYxVuGxh
2017-05-11 15:23 - 2016-02-17 21:56 - 00000000 ____D C:\ProgramData\oBVtnMVYxVuGxh
2017-05-11 15:23 - 2016-02-16 19:21 - 00000000 ____D C:\Users\Все пользователи\YATSkONbvAV
2017-05-11 15:23 - 2016-02-16 19:21 - 00000000 ____D C:\Users\Все пользователи\UjbGYOwJejPyFd
2017-05-11 15:23 - 2016-02-16 19:21 - 00000000 ____D C:\ProgramData\YATSkONbvAV
2017-05-11 15:23 - 2016-02-16 19:21 - 00000000 ____D C:\ProgramData\UjbGYOwJejPyFd
2017-05-11 15:23 - 2016-02-15 02:45 - 00000000 ____D C:\Users\Все пользователи\yfShmVmU
2017-05-11 15:23 - 2016-02-15 02:45 - 00000000 ____D C:\ProgramData\yfShmVmU
2017-05-11 15:23 - 2016-02-13 16:22 - 00000000 ____D C:\Users\Все пользователи\STwOmmRNEQfg
2017-05-11 15:23 - 2016-02-13 16:22 - 00000000 ____D C:\ProgramData\STwOmmRNEQfg
2017-05-11 15:23 - 2016-02-11 19:02 - 00000000 ____D C:\Users\Все пользователи\uQgmtcsEicVJ
2017-05-11 15:23 - 2016-02-11 19:02 - 00000000 ____D C:\ProgramData\uQgmtcsEicVJ
2017-05-11 15:23 - 2016-02-08 17:39 - 00000000 ____D C:\Users\Все пользователи\zfUDJH
2017-05-11 15:23 - 2016-02-08 17:39 - 00000000 ____D C:\ProgramData\zfUDJH
2017-05-11 15:23 - 2016-02-02 21:15 - 00000000 ____D C:\Users\Все пользователи\PoWQfAnx
2017-05-11 15:23 - 2016-02-02 21:15 - 00000000 ____D C:\Users\Все пользователи\PLafBn
2017-05-11 15:23 - 2016-02-02 21:15 - 00000000 ____D C:\ProgramData\PoWQfAnx
2017-05-11 15:23 - 2016-02-02 21:15 - 00000000 ____D C:\ProgramData\PLafBn
2017-05-11 15:23 - 2016-02-01 19:06 - 00000000 ____D C:\Users\Все пользователи\RGNkrQEz
2017-05-11 15:23 - 2016-02-01 19:06 - 00000000 ____D C:\ProgramData\RGNkrQEz
2017-05-11 15:23 - 2016-01-30 22:15 - 00000000 ____D C:\Users\Все пользователи\wAJauyTUXWcA
2017-05-11 15:23 - 2016-01-30 22:15 - 00000000 ____D C:\Users\Все пользователи\VDChPEbJfG
2017-05-11 15:23 - 2016-01-30 22:15 - 00000000 ____D C:\ProgramData\wAJauyTUXWcA
2017-05-11 15:23 - 2016-01-30 22:15 - 00000000 ____D C:\ProgramData\VDChPEbJfG
2017-05-11 15:23 - 2016-01-29 22:29 - 00000000 ____D C:\Users\Все пользователи\XpWpWmOVA
2017-05-11 15:23 - 2016-01-29 22:29 - 00000000 ____D C:\ProgramData\XpWpWmOVA
2017-05-11 15:23 - 2016-01-29 13:03 - 00000000 ____D C:\Users\Все пользователи\vDSmaMXedNO
2017-05-11 15:23 - 2016-01-29 13:03 - 00000000 ____D C:\ProgramData\vDSmaMXedNO
2017-05-11 15:23 - 2016-01-27 15:56 - 00000000 ____D C:\Users\Все пользователи\wkOqDhFLiFuuW
2017-05-11 15:23 - 2016-01-27 15:56 - 00000000 ____D C:\ProgramData\wkOqDhFLiFuuW
2017-05-11 15:23 - 2016-01-24 21:52 - 00000000 ____D C:\Users\Все пользователи\zEoAhS
2017-05-11 15:23 - 2016-01-24 21:52 - 00000000 ____D C:\ProgramData\zEoAhS
2017-05-11 15:23 - 2016-01-19 22:44 - 00000000 ____D C:\Users\Все пользователи\YhnLqMviOahJX
2017-05-11 15:23 - 2016-01-19 22:44 - 00000000 ____D C:\ProgramData\YhnLqMviOahJX
2017-05-11 15:23 - 2016-01-17 15:08 - 00000000 ____D C:\Users\Все пользователи\rEsoPL
2017-05-11 15:23 - 2016-01-17 15:08 - 00000000 ____D C:\ProgramData\rEsoPL
2017-05-11 15:23 - 2016-01-16 12:42 - 00000000 ____D C:\Users\Все пользователи\ueCwidM
2017-05-11 15:23 - 2016-01-16 12:42 - 00000000 ____D C:\ProgramData\ueCwidM
2017-05-11 15:23 - 2016-01-14 23:03 - 00000000 ____D C:\Users\Все пользователи\oCcRxoatZIuU
2017-05-11 15:23 - 2016-01-14 23:03 - 00000000 ____D C:\ProgramData\oCcRxoatZIuU
2017-05-11 15:23 - 2016-01-13 16:50 - 00000000 ____D C:\Users\Все пользователи\WkrKQdF
2017-05-11 15:23 - 2016-01-13 16:50 - 00000000 ____D C:\Users\Все пользователи\wFeXWrnaBKKasP
2017-05-11 15:23 - 2016-01-13 16:50 - 00000000 ____D C:\ProgramData\WkrKQdF
2017-05-11 15:23 - 2016-01-13 16:50 - 00000000 ____D C:\ProgramData\wFeXWrnaBKKasP
2017-05-11 15:23 - 2016-01-12 21:39 - 00000000 ____D C:\Users\Все пользователи\SGmUAIb
2017-05-11 15:23 - 2016-01-12 21:39 - 00000000 ____D C:\ProgramData\SGmUAIb
2017-05-11 15:23 - 2016-01-10 23:16 - 00000000 ____D C:\Users\Все пользователи\pBJqqRgPbOSOm
2017-05-11 15:23 - 2016-01-10 23:16 - 00000000 ____D C:\ProgramData\pBJqqRgPbOSOm
2017-05-11 15:23 - 2015-12-29 20:01 - 00000000 ____D C:\Users\Все пользователи\pjdfWQMoqWG
2017-05-11 15:23 - 2015-12-29 20:01 - 00000000 ____D C:\ProgramData\pjdfWQMoqWG
2017-05-11 15:23 - 2015-12-28 20:01 - 00000000 ____D C:\Users\Все пользователи\rrKDeGKPjbfB
2017-05-11 15:23 - 2015-12-28 20:01 - 00000000 ____D C:\ProgramData\rrKDeGKPjbfB
2017-05-11 15:23 - 2015-12-27 20:35 - 00000000 ____D C:\Users\Все пользователи\wQZKwKtDtpzxpiq
2017-05-11 15:23 - 2015-12-27 20:35 - 00000000 ____D C:\ProgramData\wQZKwKtDtpzxpiq
2017-05-11 15:23 - 2015-12-26 14:54 - 00000000 ____D C:\Users\Все пользователи\RRLuRtasfhO
2017-05-11 15:23 - 2015-12-26 14:54 - 00000000 ____D C:\Users\Все пользователи\qySMjqOt
2017-05-11 15:23 - 2015-12-26 14:54 - 00000000 ____D C:\ProgramData\RRLuRtasfhO
2017-05-11 15:23 - 2015-12-26 14:54 - 00000000 ____D C:\ProgramData\qySMjqOt
2017-05-11 15:23 - 2015-12-24 22:51 - 00000000 ____D C:\Users\Все пользователи\ZSVOktTrdgN
2017-05-11 15:23 - 2015-12-24 22:51 - 00000000 ____D C:\Users\Все пользователи\pNOyNCQhIwGJ
2017-05-11 15:23 - 2015-12-24 22:51 - 00000000 ____D C:\ProgramData\ZSVOktTrdgN
2017-05-11 15:23 - 2015-12-24 22:51 - 00000000 ____D C:\ProgramData\pNOyNCQhIwGJ
2017-05-11 15:23 - 2015-12-23 09:25 - 00000000 ____D C:\Users\Все пользователи\wymxClWLJsFtTI
2017-05-11 15:23 - 2015-12-23 09:25 - 00000000 ____D C:\ProgramData\wymxClWLJsFtTI
2017-05-11 15:23 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Все пользователи\ZPIIKJyiGXnthX
2017-05-11 15:23 - 2015-12-20 22:37 - 00000000 ____D C:\ProgramData\ZPIIKJyiGXnthX
2017-05-11 15:22 - 2016-02-24 21:43 - 00000000 ____D C:\Users\Все пользователи\MEAUtSdnzLsTl
2017-05-11 15:22 - 2016-02-24 21:43 - 00000000 ____D C:\ProgramData\MEAUtSdnzLsTl
2017-05-11 15:22 - 2016-02-22 21:39 - 00000000 ____D C:\Users\Все пользователи\EgAGAPTyOiy
2017-05-11 15:22 - 2016-02-22 21:39 - 00000000 ____D C:\ProgramData\EgAGAPTyOiy
2017-05-11 15:22 - 2016-02-15 02:45 - 00000000 ____D C:\Users\Все пользователи\fdsgDjpso
2017-05-11 15:22 - 2016-02-15 02:45 - 00000000 ____D C:\ProgramData\fdsgDjpso
2017-05-11 15:22 - 2016-02-13 16:22 - 00000000 ____D C:\Users\Все пользователи\dKuxywoTwXkU
2017-05-11 15:22 - 2016-02-13 16:22 - 00000000 ____D C:\ProgramData\dKuxywoTwXkU
2017-05-11 15:22 - 2016-02-09 23:37 - 00000000 ____D C:\Users\Все пользователи\ksJewnmt
2017-05-11 15:22 - 2016-02-09 23:37 - 00000000 ____D C:\ProgramData\ksJewnmt
2017-05-11 15:22 - 2016-02-09 23:36 - 00000000 ____D C:\Users\Все пользователи\eWjaZRxw
2017-05-11 15:22 - 2016-02-09 23:36 - 00000000 ____D C:\ProgramData\eWjaZRxw
2017-05-11 15:22 - 2016-02-08 17:39 - 00000000 ____D C:\Users\Все пользователи\GuBVLcW
2017-05-11 15:22 - 2016-02-08 17:39 - 00000000 ____D C:\ProgramData\GuBVLcW
2017-05-11 15:22 - 2016-02-07 12:12 - 00000000 ____D C:\Users\Все пользователи\gDXTyfPUvTsd
2017-05-11 15:22 - 2016-02-07 12:12 - 00000000 ____D C:\Users\Все пользователи\fLBiQXXIzHMrDU
2017-05-11 15:22 - 2016-02-07 12:12 - 00000000 ____D C:\ProgramData\gDXTyfPUvTsd
2017-05-11 15:22 - 2016-02-07 12:12 - 00000000 ____D C:\ProgramData\fLBiQXXIzHMrDU
2017-05-11 15:22 - 2016-02-06 11:17 - 00000000 ____D C:\Users\Все пользователи\JHSaSdvWbyPiwv
2017-05-11 15:22 - 2016-02-06 11:17 - 00000000 ____D C:\ProgramData\JHSaSdvWbyPiwv
2017-05-11 15:22 - 2016-02-05 17:30 - 00000000 ____D C:\Users\Все пользователи\jfFTZTcJaMIy
2017-05-11 15:22 - 2016-02-05 17:30 - 00000000 ____D C:\Users\Все пользователи\ftkUHxAHAiS
2017-05-11 15:22 - 2016-02-05 17:30 - 00000000 ____D C:\ProgramData\jfFTZTcJaMIy
2017-05-11 15:22 - 2016-02-05 17:30 - 00000000 ____D C:\ProgramData\ftkUHxAHAiS
2017-05-11 15:22 - 2016-02-04 18:25 - 00000000 ____D C:\Users\Все пользователи\MleAztTDmlhW
2017-05-11 15:22 - 2016-02-04 18:25 - 00000000 ____D C:\Users\Все пользователи\DchJGPoDNvHB
2017-05-11 15:22 - 2016-02-04 18:25 - 00000000 ____D C:\ProgramData\MleAztTDmlhW
2017-05-11 15:22 - 2016-02-04 18:25 - 00000000 ____D C:\ProgramData\DchJGPoDNvHB
2017-05-11 15:22 - 2016-01-29 13:03 - 00000000 ____D C:\Users\Все пользователи\DEhJkC
2017-05-11 15:22 - 2016-01-29 13:03 - 00000000 ____D C:\ProgramData\DEhJkC
2017-05-11 15:22 - 2016-01-28 16:43 - 00000000 ____D C:\Users\Все пользователи\dwsHkWyXtNQa
2017-05-11 15:22 - 2016-01-28 16:43 - 00000000 ____D C:\ProgramData\dwsHkWyXtNQa
2017-05-11 15:22 - 2016-01-27 15:56 - 00000000 ____D C:\Users\Все пользователи\JurwWx
2017-05-11 15:22 - 2016-01-27 15:56 - 00000000 ____D C:\ProgramData\JurwWx
2017-05-11 15:22 - 2016-01-24 21:52 - 00000000 ____D C:\Users\Все пользователи\ErmksR
2017-05-11 15:22 - 2016-01-24 21:52 - 00000000 ____D C:\ProgramData\ErmksR
2017-05-11 15:22 - 2016-01-22 17:36 - 00000000 ____D C:\Users\Все пользователи\DESODrKDo
2017-05-11 15:22 - 2016-01-22 17:36 - 00000000 ____D C:\ProgramData\DESODrKDo
2017-05-11 15:22 - 2016-01-21 12:45 - 00000000 ____D C:\Users\Все пользователи\LTxllzotaeo
2017-05-11 15:22 - 2016-01-21 12:45 - 00000000 ____D C:\Users\Все пользователи\kUfhjrFjgX
2017-05-11 15:22 - 2016-01-21 12:45 - 00000000 ____D C:\ProgramData\LTxllzotaeo
2017-05-11 15:22 - 2016-01-21 12:45 - 00000000 ____D C:\ProgramData\kUfhjrFjgX
2017-05-11 15:22 - 2016-01-18 16:46 - 00000000 ____D C:\Users\Все пользователи\ioyKPxrM
2017-05-11 15:22 - 2016-01-18 16:46 - 00000000 ____D C:\Users\Все пользователи\DTPLGATlhxjP
2017-05-11 15:22 - 2016-01-18 16:46 - 00000000 ____D C:\ProgramData\ioyKPxrM
2017-05-11 15:22 - 2016-01-18 16:46 - 00000000 ____D C:\ProgramData\DTPLGATlhxjP
2017-05-11 15:22 - 2016-01-17 15:09 - 00000000 ____D C:\Users\Все пользователи\HcSdsI
2017-05-11 15:22 - 2016-01-17 15:09 - 00000000 ____D C:\ProgramData\HcSdsI
2017-05-11 15:22 - 2016-01-16 12:42 - 00000000 ____D C:\Users\Все пользователи\MsISLPMiAoTqif
2017-05-11 15:22 - 2016-01-16 12:42 - 00000000 ____D C:\ProgramData\MsISLPMiAoTqif
2017-05-11 15:22 - 2016-01-14 23:03 - 00000000 ____D C:\Users\Все пользователи\HwQNKEuIAXSyxvm
2017-05-11 15:22 - 2016-01-14 23:03 - 00000000 ____D C:\ProgramData\HwQNKEuIAXSyxvm
2017-05-11 15:22 - 2016-01-12 21:39 - 00000000 ____D C:\Users\Все пользователи\MnCujyl
2017-05-11 15:22 - 2016-01-12 21:39 - 00000000 ____D C:\ProgramData\MnCujyl
2017-05-11 15:22 - 2016-01-11 15:21 - 00000000 ____D C:\Users\Все пользователи\mLtnPuF
2017-05-11 15:22 - 2016-01-11 15:21 - 00000000 ____D C:\Users\Все пользователи\fLlfHqoM
2017-05-11 15:22 - 2016-01-11 15:21 - 00000000 ____D C:\ProgramData\mLtnPuF
2017-05-11 15:22 - 2016-01-11 15:21 - 00000000 ____D C:\ProgramData\fLlfHqoM
2017-05-11 15:22 - 2016-01-10 23:16 - 00000000 ____D C:\Users\Все пользователи\lnLVTf
2017-05-11 15:22 - 2016-01-10 23:16 - 00000000 ____D C:\ProgramData\lnLVTf
2017-05-11 15:22 - 2015-12-28 20:01 - 00000000 ____D C:\Users\Все пользователи\maZuwxzCeKMMYu
2017-05-11 15:22 - 2015-12-28 20:01 - 00000000 ____D C:\ProgramData\maZuwxzCeKMMYu
2017-05-11 15:22 - 2015-12-27 20:35 - 00000000 ____D C:\Users\Все пользователи\mdqpmrm
2017-05-11 15:22 - 2015-12-27 20:35 - 00000000 ____D C:\ProgramData\mdqpmrm
2017-05-11 15:22 - 2015-12-23 22:11 - 00000000 ____D C:\Users\Все пользователи\mJNApfLJmKeVRQG
2017-05-11 15:22 - 2015-12-23 22:11 - 00000000 ____D C:\Users\Все пользователи\EyukeSZfRoP
2017-05-11 15:22 - 2015-12-23 22:11 - 00000000 ____D C:\ProgramData\mJNApfLJmKeVRQG
2017-05-11 15:22 - 2015-12-23 22:11 - 00000000 ____D C:\ProgramData\EyukeSZfRoP
2017-05-11 15:22 - 2015-12-23 09:25 - 00000000 ____D C:\Users\Все пользователи\JcVXvxcgaMvAuj
2017-05-11 15:22 - 2015-12-23 09:25 - 00000000 ____D C:\ProgramData\JcVXvxcgaMvAuj
2017-05-11 15:22 - 2012-05-21 11:24 - 00000000 ____D C:\Users\Все пользователи\DatacardService
2017-05-11 15:22 - 2012-05-21 11:24 - 00000000 ____D C:\ProgramData\DatacardService
2017-05-11 15:22 - 2012-05-03 19:07 - 00000000 ____D C:\Users\Все пользователи\Guard.Mail.Ru
2017-05-11 15:22 - 2012-05-03 19:07 - 00000000 ____D C:\ProgramData\Guard.Mail.Ru
2017-05-11 15:22 - 2011-11-25 13:35 - 00000000 ____D C:\Users\Все пользователи\Microsoft Help
2017-05-11 15:21 - 2016-02-20 21:24 - 00000000 ____D C:\Users\Все пользователи\ceVWKcbRXE
2017-05-11 15:21 - 2016-02-20 21:24 - 00000000 ____D C:\ProgramData\ceVWKcbRXE
2017-05-11 15:21 - 2016-02-19 20:49 - 00000000 ____D C:\Users\Все пользователи\bjMaqFUbX
2017-05-11 15:21 - 2016-02-19 20:49 - 00000000 ____D C:\ProgramData\bjMaqFUbX
2017-05-11 15:21 - 2016-02-17 21:56 - 00000000 ____D C:\Users\Все пользователи\cGGboeQaga
2017-05-11 15:21 - 2016-02-17 21:56 - 00000000 ____D C:\ProgramData\cGGboeQaga
2017-05-11 15:21 - 2016-02-11 19:02 - 00000000 ____D C:\Users\Все пользователи\apiQGJBGoT
2017-05-11 15:21 - 2016-02-11 19:02 - 00000000 ____D C:\ProgramData\apiQGJBGoT
2017-05-11 15:21 - 2016-02-01 19:06 - 00000000 ____D C:\Users\Все пользователи\bXaCNrCJ
2017-05-11 15:21 - 2016-02-01 19:06 - 00000000 ____D C:\ProgramData\bXaCNrCJ
2017-05-11 15:21 - 2016-01-28 16:43 - 00000000 ____D C:\Users\Все пользователи\AoZalZV
2017-05-11 15:21 - 2016-01-28 16:43 - 00000000 ____D C:\ProgramData\AoZalZV
2017-05-11 15:21 - 2016-01-25 23:25 - 00000000 ____D C:\Users\Все пользователи\cWUVeHQwyHUw
2017-05-11 15:21 - 2016-01-25 23:25 - 00000000 ____D C:\Users\Все пользователи\CHjwkc
2017-05-11 15:21 - 2016-01-25 23:25 - 00000000 ____D C:\ProgramData\cWUVeHQwyHUw
2017-05-11 15:21 - 2016-01-25 23:25 - 00000000 ____D C:\ProgramData\CHjwkc
2017-05-11 15:21 - 2016-01-22 17:36 - 00000000 ____D C:\Users\Все пользователи\cMDyWQqbkdrMSKA
2017-05-11 15:21 - 2016-01-22 17:36 - 00000000 ____D C:\ProgramData\cMDyWQqbkdrMSKA
2017-05-11 15:21 - 2016-01-19 22:44 - 00000000 ____D C:\Users\Все пользователи\bXtarTnNxkzM
2017-05-11 15:21 - 2016-01-19 22:44 - 00000000 ____D C:\ProgramData\bXtarTnNxkzM
2017-05-11 15:21 - 2015-12-29 20:01 - 00000000 ____D C:\Users\Все пользователи\bvwdsIKKAoxkKuu
2017-05-11 15:21 - 2015-12-29 20:01 - 00000000 ____D C:\ProgramData\bvwdsIKKAoxkKuu
2017-05-11 15:19 - 2015-12-20 22:37 - 00000000 ____D C:\Users\Все пользователи\abtcuwqgEZITest
2017-05-11 15:19 - 2015-12-20 22:37 - 00000000 ____D C:\ProgramData\abtcuwqgEZITest
2016-10-30 19:54 - 2016-10-30 19:54 - 0000000 _____ () C:\Users\Оля\AppData\Local\Temp\6fxszdap.dll
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Опубликовано (изменено)

Дико дико извиняюсь, я профан еще в вопросах дешифровки файлов, поэтому прошу подробней немного расписать кое что еще. Как пользоваться дешифровщиком я понял. А как найти оригиналы зашифрованых файлов? И главное как они выглядят эти оригиналы? Прочитал кучу информации в гугле, изучил инструкцию по пользованию той программы на которую вы дали мне ссылку. Везде пишут что надо искать файлы с названием как были у оригиналов. По размеру нашел 30 гиговую папку. Перелопатил эту папку вдоль и поперек. Открыл все скрытые папки, дорылся до конечной большой папки, с помощью тотал командера открыл и ее, а там 8 папок в которых очень много файлов, с разными разширениями. Но они совсем не похожи на те что я ищу, или я не то ищу? Подскажите плиз еще разок....

Изменено пользователем dog5542
Опубликовано

В данном случае оригинальный файл отличается от шифрованного отсутствием приписанного вирусом расширения .id_2281451674_fgb45ft3pqamyji7.onion

 

Для Вашей системы самый простой способ найти оригиналы - на системе аналогичной Вашей зайти в папку со стандартными картинками (коала, хризантемы и т.д.)

Опубликовано

Если я правильно Вас понимаю мне нужен один оригинальный файл из тех что был ноуте и его закодированный вариант? Верно?

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • working816
      Автор working816
      Нужна помощь!
      Зашифровались все файлы получили вот такое сообщение
      "Внимание! Вы нарушили закон! Все Ваши файлы заблокированы!
      Чтобы разблокировать файлы посетите сайт http://stpiracy.host.sk Если сайт недоступен пишите на емейл stpiracy@email.su Ваш id l.......73"
      Снос винды на помог. т.е. на диске С все работает, а на даске D все фото документы фильмы видео все заблоктровано. Везле стоит расширение файла :
      bookmarks_04.06.12.html.7Kf9uY
      25052012042.mp4.7Kf9uY
      Фото0039.jpg.7Kf9uY
      oliver-koletzki-fran-hypnotized.mp3.7Kf9uY
      Помогите! чем эту заразу убить....
    • IgorM
      Автор IgorM
      Добрый день.Получил сообщение якобы из налоговой инспекции, открыл и вирус шифровальщик "одуванчик" зашифровал все текстовые файлы.Прошу помочь с их расшифровкой.Во вложенном файле логи.Заранее благодарю.
      GeneralScript.txt
      Script2.txt
    • jazzfen
      Автор jazzfen
      Здравейте,
      заразен съм с криптовирус смени ми текстовите и ПДФ файлове добави някакво разширение ABC поради което не се отварят моля за помощ!
      ето съобщението което е във всяка папка на компа ми:
      What happened to your files ?
      All of your files were protected by a strong encryption with RSA-2048.
      More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia...._(cryptosystem)
      What does this mean ?
      This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
      it is the same thing as losing them forever, but with our help, you can restore them.
      How did this happen ?
      Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
      All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
      Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
       
      What do I do ?
      Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
      If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
       
      For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
      1. http://lk2gaflsgh.jg...2437118E6ACC021
      2. http://dg62wor94m.sd...2437118E6ACC021
      3. https://djdkduep62kz...2437118E6ACC021
      If for some reasons the addresses are not available, follow these steps:
      1. Download and install tor-browser: http://www.torprojec...browser.html.en
      2. After a successful installation, run the browser and wait for initialization.
      3. Type in the address bar: djdkduep62kz4nzx.onion/2437118E6ACC021
      4. Follow the instructions on the site.
      IMPORTANT INFORMATION:
      Your personal pages:
      http://lk2gaflsgh.jg...2437118E6ACC021
      http://dg62wor94m.sd...2437118E6ACC021
      https://djdkduep62kz...437118E6ACC021
      CollectionLog-2015.09.06-16.38.zip
    • Ольга Белоусова
      Автор Ольга Белоусова
      Здравствуйте, ц меня такая же проблема можете помочь? 
      AdwCleanerS1.txt
    • Александр Крицкий
      Автор Александр Крицкий
      Здравствуйте, господа. Мой компьютер подвергся заражению, в результате которой произошла так называемая шифровка программ, причем лишь я обратил внимание,что это музыка, фото, и ЧАСТЬ! видео. Видео, сохраненные в документах под блокировку не попали. После этого также начал тормозить компьютер. Итак, что делать?
×
×
  • Создать...