Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Шифровальщик с расширением URSA.ID

Vugar Guliyev
 Поделиться

Рекомендуемые сообщения

Vugar Guliyev

Vugar Guliyev

Опубликовано
Опубликовано (изменено)

мне на комп тоже попал этот вирус могу отпрвит файл шифратор

 

Строгое предупреждение от модератора thyrex
Вирусное вложение удалено
Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Vugar Guliyev

Vugar Guliyev

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Можно узнать что делать с этом случае . Попал вирус URsa   .ID89817182

Сам шифровальшик на компе. Находится на папке админа музыка. что посоветуете сделать . Могу выслат его. Попытался но вы удалили его. Есть ли есть другой метод пересылки самого вируса подскажите как это сделать

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] C:\Windows\cmdacoBin\RE[B]Ell.bat
C:\Windows\cmdacoBin\RE[B]Ell.bat
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Public\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Public\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Public\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Public\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default User\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default User\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default User\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\ProgramData\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\ProgramData\How_return_files.txt
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll (GoogleInc.)
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Перезагрузку компьютера выполните вручную.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Шифровальщик с расширением .frank
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • 08Sergey
      Шифровальщик .eking
      Автор 08Sergey
      Всем привет! Помогите пожалуйста, зашифровало файловый сервер, много текстовых документов, стандартные средства не помогли, есть оригинал файла и зашифрованный (в архиве), система переустановлена, письмо с требованиями не найдено...
      eking.zip
    • Павел Бурдейный
      Помощи с шифровальщиком
      Автор Павел Бурдейный
      Сегодня схватили шифровальщика. Имя файла изменилось на Лист Microsoft Office Excel.xlsx.[ID-6E9103E8].[Telegram ID @Cherchil_77777].WMRWXK . Прошу помочь в решении проблемы
      Лист Microsoft Office Excel.xlsx
    • Александр_vgau
      шифровальщик banta
      Автор Александр_vgau
      Шифровальщик изменил файлы данных внутри сети на всех серверах и рабочих станциях с ОС Windows где был доступ по протоколу rdp или общие папки, часть бэкапов удалил.
      Антивирус не реагирует (все обновления установлены), наблюдали шифрование в режиме реального времени Антивирус спокойно наблюдал за шифрованием.
      Требования и файлы.rar Вирус.zip FRST.txt Addition.txt
×
×
  • Создать...