Перейти к содержанию

Шифровальщик с расширением URSA.ID

Vugar Guliyev
 Share

Рекомендуемые сообщения

Vugar Guliyev Новичок

Vugar Guliyev

Опубликовано
Опубликовано (изменено)

мне на комп тоже попал этот вирус могу отпрвит файл шифратор

 

Строгое предупреждение от модератора thyrex
Вирусное вложение удалено
Изменено пользователем thyrex
Ссылка на комментарий
Поделиться на другие сайты
Vugar Guliyev Новичок

Vugar Guliyev

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Можно узнать что делать с этом случае . Попал вирус URsa   .ID89817182

Сам шифровальшик на компе. Находится на папке админа музыка. что посоветуете сделать . Могу выслат его. Попытался но вы удалили его. Есть ли есть другой метод пересылки самого вируса подскажите как это сделать

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] C:\Windows\cmdacoBin\RE[B]Ell.bat
C:\Windows\cmdacoBin\RE[B]Ell.bat
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Ulvi\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Public\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Public\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Public\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Public\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default User\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default User\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default User\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Classic .NET AppPool\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\Downloads\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\Documents\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\Desktop\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\ProgramData\Microsoft\Windows\Start Menu\How_return_files.txt
2017-08-06 00:04 - 2017-08-06 00:04 - 000000573 _____ C:\ProgramData\How_return_files.txt
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll (GoogleInc.)
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2077912742-325781097-3481941520-500_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Administrator\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Перезагрузку компьютера выполните вручную.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Bruce007
      Шифровальщик с расширением fear.pw
      От Bruce007
      Здравствуйте!
      Поймали вирус-шифровальщик с расширением fear.pw прикладываю два зашифрованных файла и лог FRST (запускал с live cd) почта platishilidrochish@fear.pw
      Пожалуйста, помогите, чем можете!
      DeCrYpTiOn.txt FRST.txt Примеры файлов.rar
    • Юрикс
      Шифровальщик, расширение .A7V3ac
      От Юрикс
      Приветствую всех. Уже прилично как зашифровало файлы. Почтой отправлял данные (сам вирус и шифрованные файлы) в Касперский, но что-то тишина.
      Шифрование похоже на .7Kf9uY и .rOSb1V. Только в сообщении у меня другая ссылка на сайт. А так, вроде и сайт с тем самим видом.
      Внимание! Все Ваши файлы зашифрованы!Чтобы восстановить свои файлы посетите сайт http://plc.2fh.co Если сайт недоступен пишите на plc12@inbox.com Ваш id d9115873 У вас есть 6 попыток ввода кода. При превышении этого  лимита все данные необратимо испортятся. Надеюсь и мне повезёт с расшифровкой.
      Прикладываю шифрованный файл.
      OemInfo.zip.zip
    • Always_Young
      Шифровальщик вымогатель. Расширение .y8ItHTbGJ
      От Always_Young
      Здравствуйте! На ПК пришло письмо с файлом с раширением .cab. Файл находится в облаке. Скрин проверки с VirusTotal прилагается. После этого все документы JPEG, JPG,PDF,XLSX,DOCX оказались зашифрованы. Доступ на ПК осуществлялся удаленно, через AnyDesk. В сети три ПК и один ноутбук по Wi-Fi. Заражен оказался один. Есть ли возможность расшифровать? 

      Addition.txt FRST.txt y8ItHTbGJ.README.txt Файлы шифр.zip
    • Иван Иванович Ивановский
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      От Иван Иванович Ивановский
      сегодня утром зашифровал все файлы
      часть данных у меня были на флешке, есть исходные, не зашифрованные файлы - положил их тоже в архив
      что это за тип шифровальщика, возможна ли расшифровка?
      и с компом чего теперь делать, возможно ли очистить и работать дальше или лучше все отформатировать и переустановить ?
       
      архив и логи FRST прилагаю
      Архив.7z Addition.txt FRST.txt
    • Александр Щепочкин
      Шифровальщик зашифровал файлы расширение .6iENBa2rG
      От Александр Щепочкин
      Добрый день, такое же и у меня случилось,  с таким же расширением, никто ничего не скачивал и по ссылкам не переходил, работают на удаленном рабочем столе, переносят только файлы вод или экселя. Кидаю пример файла и текст с выкупом
      6iENBa2rG.README.txt Ведомость выроботки по объекту Радиальная (белорусы) общее.xlsx.rar
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Шифровальщик зашифровал файлы расширение .6iENBa2rG
×
×
  • Создать...