Перейти к содержанию

вирус шифровальщик

Петр Зеленько

Автор Петр Зеленько
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Петр Зеленько Новичок

Петр Зеленько

Опубликовано
  • Автор
Опубликовано

Скачал актуальную версию автоматического сборщика логов, провел проверку , результат присоединил  CollectionLog-2017.06.23-10.16

также скачал  AdwCleaner (by Malwarebytes)  провел проверку , результат в  adwCleanerSO.txt

CollectionLog-2017.06.23-10.16.zip

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Toolbar: HKU\S-1-5-21-1445625105-459990080-4277793355-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
2017-06-22 17:58 - 2017-06-22 18:55 - 00000000 __SHD C:\Users\Все пользователи\services
2017-06-22 17:58 - 2017-06-22 18:55 - 00000000 __SHD C:\ProgramData\services
2017-06-22 17:58 - 2017-06-22 18:35 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-06-22 17:58 - 2017-06-22 18:35 - 00000000 __SHD C:\ProgramData\Csrss
2017-06-22 13:23 - 2017-06-22 18:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-06-22 13:23 - 2017-06-22 18:55 - 00000000 __SHD C:\ProgramData\Windows
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README9.txt
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README8.txt
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README7.txt
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README6.txt
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README5.txt
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README4.txt
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README3.txt
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README2.txt
2017-06-22 13:23 - 2017-06-22 13:23 - 00004150 _____ C:\README10.txt
2017-06-22 13:06 - 2017-06-22 13:06 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsignae4cfdc1f3f277d6
2017-06-22 13:06 - 2017-06-22 13:06 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign476099f40f849d71
2017-06-22 13:05 - 2017-06-22 13:05 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign5ff267e234575fe9
2017-06-20 12:21 - 2017-06-20 12:21 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsigna52772516d5f67d8
2017-06-20 12:16 - 2017-06-20 12:16 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign925ae69bb0b59580
2017-06-20 12:16 - 2017-06-20 12:16 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign8b72bb9cdeb03723
2017-06-19 16:58 - 2017-06-19 16:58 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign98d399e6b04317b1
2017-06-19 16:58 - 2017-06-19 16:58 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign5159b21578a416e6
2017-06-19 16:51 - 2017-06-19 16:51 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsignffa3f67598fa51e3
2017-06-19 16:51 - 2017-06-19 16:51 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign7362839a066609e1
2017-06-19 16:51 - 2017-06-19 16:51 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign2fc544937ef08106
2017-06-19 16:50 - 2017-06-19 16:50 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign7e42719c8bd7db28
2017-06-19 16:50 - 2017-06-19 16:50 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign52b57a7477a5801f
2017-06-19 16:23 - 2017-06-19 16:23 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign8ffc35f400515d7e
2017-06-19 16:23 - 2017-06-19 16:23 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign7f58f9f99d9f4c38
2017-06-19 16:23 - 2017-06-19 16:23 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign1090fa358378bec7
2017-06-19 16:22 - 2017-06-19 16:22 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsignc19b4cf7a075ea78
2017-06-19 16:22 - 2017-06-19 16:22 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign7a50ce421151c13e
2017-06-19 16:22 - 2017-06-19 16:22 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign52eced1c66b6fbda
2017-06-19 16:22 - 2017-06-19 16:22 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign161a2d43828bad88
2017-06-19 16:21 - 2017-06-19 16:21 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign87688ac0d4486f1b
2017-06-19 16:21 - 2017-06-19 16:21 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign751988777914e73c
2017-06-19 16:07 - 2017-06-19 16:07 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsigna259c9cbec41b024
2017-06-19 16:05 - 2017-06-19 16:05 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsignbfa2f34a49610ebd
2017-06-19 16:05 - 2017-06-19 16:05 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign67199dd6a9d4dc66
2017-06-19 16:05 - 2017-06-19 16:05 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign2282442095f65edd
2017-06-19 16:05 - 2017-06-19 16:05 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsign2271151c01e60a87
2017-06-16 16:17 - 2017-06-16 16:17 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsignf7edc3271a728664
2017-06-16 16:17 - 2017-06-16 16:17 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsigned22184203ef1a96
2017-06-16 16:17 - 2017-06-16 16:17 - 00000000 ____D C:\Users\GRAVER_copy\AppData\Local\Tempzxpsignba43fbfd362c7bdf
AlternateDataStreams: C:\ProgramData\TEMP:94D97A40 [150]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:94D97A40 [150]
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      Автор Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
×
×
  • Создать...