Перейти к содержанию

trojan.encoder.858 расшифровка

grewcew1959
 Share

Рекомендуемые сообщения

grewcew1959 Новичок

grewcew1959

Опубликовано
  • Автор
Опубликовано
Ваши фaйлы былu зашuфрoваны.

Чтoбы расшuфpoвать ux, Bам необходимо оmпрaвumь koд:

488A37347E8EC550AA7E|0

нa элekmронный адpec Novikov.Vavila@gmail.com .

Далеe вы пoлучитe вcе неoбxoдимыe инcтpуkции.

Попыmku расшифpoваmь caмосmoятельнo нe прuвeдyт нu k чемy, kpомe безвозвpаmнoй поmеpи uнфoрмaции.

Eслu вы всё жe хoтuте пoпыmаmьcя, mo предваpиmeльнo сделайтe pезeрвныe кoпuu фaйлов, uнaчe в слyчае

ux измененuя расшuфрoвка cтaнeт нeвозмoжнoй ни прu kakuх yслoвиях.

Еслu вы не получuли оmвema по вышeykaзaннoму aдpeсy в теченuе 48 чaсов (и moльko в эmoм слyчаe!),

воcnoльзуйmeсь фopмoй oбрamнoй связuCollectionLog-2017.07.25-09.12.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Цыбрий\AppData\Local\Yandex\browser.bat','');
 DeleteService('TSSK');
 DeleteService('QMUdisk');
 DeleteService('TS888');
 DeleteService('browserServer_2015.11.03.13.09.14');
 TerminateProcessByName('c:\programdata\drivers\csrss.exe');
 TerminateProcessByName('c:\programdata\services\csrss.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\programdata\csrss\csrss.exe');
 QuarantineFile('c:\programdata\csrss\csrss.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\programdata\services\csrss.exe','');
 QuarantineFile('c:\programdata\drivers\csrss.exe','');
 DeleteFile('c:\programdata\drivers\csrss.exe','32');
 DeleteFile('c:\programdata\services\csrss.exe','32');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('c:\programdata\csrss\csrss.exe','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\TS888.sys','32');
 DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.9.16349.225\QMUdisk.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Session Manager');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkSubsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Users\Цыбрий\AppData\Local\Yandex\browser.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Строгое предупреждение от модератора thyrex
Не нужно плодить темы. Отвечайте в существующей теме.


Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ribble

Web Security App version 19.62

удалите через Установку программ

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers01: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files\IObit\Advanced SystemCare 8\ASCExtMenu.dll -> No File
ContextMenuHandlers02: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files\IObit\Advanced SystemCare 8\ASCExtMenu.dll -> No File
ContextMenuHandlers03: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers04: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => C:\Program Files\IObit\Advanced SystemCare 8\ASCExtMenu.dll -> No File
Task: {13FB4B1C-97C9-4DEB-A4C7-BDFF1BDC3B3E} - System32\Tasks\Phoenix Browser Updater => C:\Users\Цыбрий\AppData\Local\Phoenix Browser Updater\Phoenix Browser Updater.exe [2016-12-23] () <==== ATTENTION
Task: {1C386134-836C-4302-9BC8-B495704F9F6D} - \ghokswaBrowserUpdateCore -> No File <==== ATTENTION
Task: {8848CF27-16E5-44B6-B723-5D517B7B4119} - \ghokswaCheckTask -> No File <==== ATTENTION
Task: {A2F7AA79-3618-4DE6-9D77-87D0751E8330} - no filepath
Task: {B2270C54-4432-4669-8D48-2E4256F3D74B} - no filepath
Task: {F388959B-9AD4-4E50-B779-7FCD9C85153A} - \ghokswaBrowserUpdateUA -> No File <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2486765321-3411564297-119224277-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
AlternateDataStreams: C:\Users\Цыбрий:id [32]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
FirewallRules: [{D87A821E-D2FD-40CE-8795-B4C53C606CB7}] => (Allow) C:\program files\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{DC031526-CDE4-4FE1-BBC8-959E7B30F979}] => (Allow) C:\program files\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{9161F324-B4E6-4B36-B81B-99101C2DE78E}] => (Allow) C:\Program Files\ghokswa Browser\ghokswa\chrome.exe
FirewallRules: [{489F7048-C647-4D7F-AB60-11670FE87DCD}] => (Allow) C:\Program Files\ghokswa Browser\ghokswa\bin\browserServer.exe
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com/?type=hp&ts=1450257336&from=mych123&uid=st500dm002-1bd142_w2am19crxxxxw2am19cr&z=77f00409657f5336e056edcgezfw6e5o4w8m4c8o1t
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com/?type=hp&ts=1450257336&from=mych123&uid=st500dm002-1bd142_w2am19crxxxxw2am19cr&z=77f00409657f5336e056edcgezfw6e5o4w8m4c8o1t
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://v9.com/?type=hp&ts=1450257336&from=mych123&uid=st500dm002-1bd142_w2am19crxxxxw2am19cr&z=77f00409657f5336e056edcgezfw6e5o4w8m4c8o1t
CHR HKLM\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2486765321-3411564297-119224277-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2486765321-3411564297-119224277-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2486765321-3411564297-119224277-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
2017-07-26 10:10 - 2017-07-26 10:10 - 00000192 _____ C:\Users\Цыбрий\Desktop\Искать в Интернете.url
2017-07-26 10:10 - 2017-07-26 10:10 - 00000000 ____D C:\Users\Цыбрий\AppData\Local\Phoenix Browser Updater
2017-07-25 07:53 - 2017-07-25 10:50 - 00000000 __SHD C:\Users\Все пользователи\services
2017-07-25 07:53 - 2017-07-25 10:50 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-07-25 07:53 - 2017-07-25 10:50 - 00000000 __SHD C:\ProgramData\services
2017-07-25 07:53 - 2017-07-25 10:50 - 00000000 __SHD C:\ProgramData\Csrss
2017-07-25 07:53 - 2017-07-25 07:53 - 03932214 _____ C:\Users\Цыбрий\AppData\Roaming\429F6E48429F6E48.bmp
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README9.txt
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README8.txt
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README7.txt
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README6.txt
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README5.txt
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README4.txt
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README3.txt
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README2.txt
2017-07-25 07:53 - 2017-07-25 07:53 - 00004154 _____ C:\Users\Цыбрий\Desktop\README10.txt
2017-07-24 14:59 - 2017-07-25 10:50 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-07-24 14:59 - 2017-07-25 10:50 - 00000000 __SHD C:\ProgramData\Windows
2017-07-25 07:53 - 2017-07-25 07:53 - 1032704 _____ (Microsoft Corporation) C:\Users\Цыбрий\AppData\Local\Temp\04BC2836.exe
2017-07-25 07:53 - 2017-07-25 07:53 - 0887808 _____ (Microsoft Corporation) C:\Users\Цыбрий\AppData\Local\Temp\22ECD816.exe
2014-05-22 13:32 - 2014-05-22 13:32 - 21970715 _____ () C:\Users\Цыбрий\AppData\Local\Temp\55B3.exe
2017-07-26 10:37 - 2017-03-14 16:08 - 2187992 _____ (Mail.Ru) C:\Users\Цыбрий\AppData\Local\Temp\5fad-edf0-50a7-952f.exe
2017-07-25 07:53 - 2017-07-25 07:53 - 1497600 _____ () C:\Users\Цыбрий\AppData\Local\Temp\A6675FA5.exe
2015-06-02 08:11 - 2015-06-02 08:11 - 47983672 _____ (LLC Mail.Ru) C:\Users\Цыбрий\AppData\Local\Temp\AmigoDistrib.exe
2017-06-02 15:39 - 2017-06-02 15:39 - 53851128 _____ (Mail.Ru) C:\Users\Цыбрий\AppData\Local\Temp\amigo_setup.exe
2016-11-16 09:48 - 2016-11-16 09:48 - 0157480 _____ () C:\Users\Цыбрий\AppData\Local\Temp\Downloader.exe
2014-08-18 13:27 - 2014-08-18 13:28 - 44732960 _____ (LLC Mail.Ru) C:\Users\Цыбрий\AppData\Local\Temp\E312.exe
2014-03-20 15:01 - 2014-03-20 15:01 - 0119808 _____ () C:\Users\Цыбрий\AppData\Local\Temp\exereader.exe
2017-07-26 10:37 - 2017-03-14 16:08 - 2187992 _____ (Mail.Ru) C:\Users\Цыбрий\AppData\Local\Temp\ffb0-5ea1-5bda-12c6.exe
2014-01-09 16:08 - 2014-01-09 16:08 - 4765753 _____ (ffdshow                                                     ) C:\Users\Цыбрий\AppData\Local\Temp\ffdshow.exe
2014-07-15 10:14 - 2014-07-15 10:15 - 45661184 _____ () C:\Users\Цыбрий\AppData\Local\Temp\int_tmp_n.exe
2014-07-15 12:53 - 2014-07-15 13:03 - 45645824 _____ () C:\Users\Цыбрий\AppData\Local\Temp\JelYLTZfYtau.exe
2014-07-15 10:14 - 2014-07-15 10:14 - 0503560 _____ () C:\Users\Цыбрий\AppData\Local\Temp\JPEGView_.exe
2014-09-29 20:06 - 2014-09-29 20:06 - 0937896 _____ (Oracle Corporation) C:\Users\Цыбрий\AppData\Local\Temp\jre-7u71-windows-i586-iftw.exe
2014-05-10 10:50 - 2014-05-22 20:31 - 2679328 _____ () C:\Users\Цыбрий\AppData\Local\Temp\mailruhomesearch.exe
2015-06-02 08:11 - 2015-06-02 08:11 - 3953384 _____ () C:\Users\Цыбрий\AppData\Local\Temp\mailruhomesearchvbm.exe
2014-05-06 11:30 - 2015-06-01 19:48 - 3805416 _____ (Mail.Ru) C:\Users\Цыбрий\AppData\Local\Temp\MailRuUpdater.exe
2017-03-15 10:23 - 2017-07-03 17:44 - 4087000 _____ (Mail.Ru) C:\Users\Цыбрий\AppData\Local\Temp\mrutmp.exe
2017-07-26 10:10 - 2017-07-26 10:10 - 2287560 _____ () C:\Users\Цыбрий\AppData\Local\Temp\phupd_tst.exe
2015-06-02 08:17 - 2015-06-02 08:17 - 47716704 _____ () C:\Users\Цыбрий\AppData\Local\Temp\qqpcmgr_v10.9.16349.225_71969_Silence.exe
2017-07-26 10:10 - 2017-07-26 10:10 - 2578648 _____ () C:\Users\Цыбрий\AppData\Local\Temp\ret9yer.exe
2014-05-10 10:50 - 2014-07-18 13:07 - 0003072 ____H () C:\Users\Цыбрий\AppData\Local\Temp\runprog.exe
2015-06-03 08:58 - 2015-06-03 09:09 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(1).exe
2015-06-19 08:15 - 2015-06-19 08:22 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(10).exe
2015-06-22 08:20 - 2015-06-22 08:31 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(11).exe
2015-06-23 08:46 - 2015-06-23 08:56 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(12).exe
2015-06-24 08:37 - 2015-06-24 08:52 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(13).exe
2015-06-25 09:58 - 2015-06-25 10:05 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(14).exe
2015-06-26 08:31 - 2015-06-26 08:42 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(15).exe
2015-06-29 08:11 - 2015-06-29 08:21 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(16).exe
2015-06-30 08:27 - 2015-06-30 08:38 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(17).exe
2015-07-01 08:47 - 2015-07-01 08:59 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(18).exe
2015-07-02 09:19 - 2015-07-02 09:30 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(19).exe
2015-06-04 08:37 - 2015-06-04 08:47 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(2).exe
2015-07-02 16:55 - 2015-07-03 08:30 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(20).exe
2015-06-09 08:52 - 2015-06-09 09:04 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(3).exe
2015-06-10 08:18 - 2015-06-10 08:29 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(4).exe
2015-06-10 14:11 - 2015-06-10 14:29 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(5).exe
2015-06-11 09:04 - 2015-06-11 09:11 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(6).exe
2015-06-15 08:47 - 2015-06-15 08:53 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(7).exe
2015-06-16 08:41 - 2015-06-16 08:52 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(8).exe
2015-06-17 09:11 - 2015-06-17 09:23 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114(9).exe
2015-06-02 08:38 - 2015-06-02 08:49 - 5224784 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMDTLSDKSetup20141114.exe
2015-06-03 08:58 - 2015-06-03 09:09 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(1).exe
2015-06-19 08:15 - 2015-06-19 08:29 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(10).exe
2015-06-22 08:20 - 2015-06-22 08:31 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(11).exe
2015-06-23 08:46 - 2015-06-23 09:00 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(12).exe
2015-06-24 08:37 - 2015-06-24 08:54 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(13).exe
2015-06-25 09:58 - 2015-06-25 10:07 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(14).exe
2015-06-26 08:31 - 2015-06-26 08:43 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(15).exe
2015-06-29 08:11 - 2015-06-29 08:22 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(16).exe
2015-06-30 08:27 - 2015-06-30 08:38 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(17).exe
2015-07-01 08:47 - 2015-07-01 08:56 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(18).exe
2015-07-02 09:19 - 2015-07-02 09:30 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(19).exe
2015-06-04 08:37 - 2015-06-04 08:48 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(2).exe
2015-07-02 16:55 - 2015-07-03 08:29 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(20).exe
2015-06-09 08:52 - 2015-06-09 09:03 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(3).exe
2015-06-10 08:18 - 2015-06-10 08:30 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(4).exe
2015-06-10 14:11 - 2015-06-10 14:32 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(5).exe
2015-06-11 09:04 - 2015-06-11 09:12 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(6).exe
2015-06-15 08:47 - 2015-06-15 08:58 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(7).exe
2015-06-16 08:41 - 2015-06-16 08:52 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(8).exe
2015-06-17 09:11 - 2015-06-17 09:25 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418(9).exe
2015-06-02 08:38 - 2015-06-02 08:49 - 3225856 _____ () C:\Users\Цыбрий\AppData\Local\Temp\TempQMSystemSetup_10.9.16349.225_254357418.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание, что будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Leo_Pahomov
      расшифровка файлов
      От Leo_Pahomov
      Все файлы зашифрованы типом файла YAKRDXSNS
      DESKTOP-5B9SCJG_2025-02-21_17-43-06_v4.99.9v x64.7z
      Сообщение от модератора thyrex Темы объединены
    • Hendehog
      Расшифровка Отчета
      От Hendehog
      Добрый день.
      Коллеги можете расшифровать, что это за вирус, какого типа, и как он мог проникнуть в систему?
      У нас через него пытались крупную сумму через банк увести, в этот момент пользователю на экране показывали якобы обновление винды идет...))
      Файл KVRT DATA приложить полный не могу, если надо загружу на яндекс диск.
      Спасибо.
      Reports.rar
    • Ч_Александр
      Поймал шифровальщик Trojan.Encoder.37448
      От Ч_Александр
      Добрый день.
      Шифровальщик Trojan.Encoder.37448. Каспер у юзера был старый и не активный.
      Зашифрован HDD, "exe" файлы не зашифрованы. Зашифрованы документы и базы 1С.
      Есть скрин "Резервного хранилища", к сожалению очищено.
      Пример имени зашифрованного файла "д о г о в о р №30 04.doc.elpaco-team-54idcqynrhwlpsxf_krvfq_dgtrabof-vdlmydcjdxy.[Rdpdik6@gmail.com].lockedfile".
      Скрин и файл с требованием во вложении.
      Могу предоставить зашифрованные файлы.
      Есть ли шанс на расшифровку?
       
      П.С.
      Ответ DRWEB
       Файлы зашифрованы Trojan.Encoder.37448 Расшифровка нашими силами невозможна.

      #Read-for-recovery.txt
    • trambler3
      Поймал шифровальщика (предположительно Trojan.Encoder.37448)
      От trambler3
      1. ОС переустановлена т.к. необходимо рабочее место.
      2. Атака произошла ночью в выходной день через компьютер пользователя. Сервер 1С не смогли зашифровать, только общедоступные папки (шару). Однако на сервере касперский нашел ransomware (к сожалению в панике удалил даже не записав точное название), так же почти на всех пользовательских компах был файл , определяющийся как вирус "AA_v3". При попытке восстановления с помощью, например, recuva видно удаленный файл, но он повреждён. Теневых копий нет. 
      F.7z
×
×
  • Создать...