Зашифрованы файлы .gladn

[user890]

Приветствую. Собственно сабж. Вроде всё что необходимо прикрепил. Прошу помощи.

 

Сообщение от модератора Mark D. Pearlstone

Не публикуйте вредоносные и потенциально вредоносные файлы на форуме.

CollectionLog-2017.10.08-16.48.zip

Addition.txt

FRST.txt

Shortcut.txt

[thyrex]

Поищите пару - незашифрованный и зашифрованный - одного и того же файла и прикрепите в архиве к следующему сообщению.

[user890]

во вложении.

Desktop.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-3947755417-1962615494-2154710155-1000\...\Run: [{53BCAB5C-9908-5594-0BCB-A5928ADED6C7}] => C:\Users\Admin\Как расшифровать файлы.TXT [6517 2017-10-07] ()
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420475780&from=cor&uid=WDCXWD5000BPVT-22HXZT3_WD-WXL1E91ACTYYACTYY","hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg","hxxp://mail.ru/cnt/10445?gp=profitraf3","hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420475812&from=cor&uid=WDCXWD5000BPVT-22HXZT3_WD-WXL1E91ACTYYACTYY","hxxp://mail.ru/cnt/10445?gp=blackbear2","hxxp://www.mystartsearch.com/?type=hp&ts=1433345796&z=90b9486f4b99bca00463056g7zccfc9ccz2wdb4e4z&from=cmi&uid=HitachiXHTS547550A9E384_J2160051F817LCF817LCX","hxxp://www.mystartsearch.com/?type=hppp&ts=1433345824&z=5b1d1321f1297d6a7f5a1e2g5z9c4c7c4z6w2bcc7o&from=cmi&uid=HitachiXHTS547550A9E384_J2160051F817LCF817LCX","hxxp://mail.ru/cnt/10445?gp=newcustom14","hxxp://www.mystartsearch.com/?type=hp&ts=1435234975&z=5486c4007e1b678b1a30b38gdzccfweo8c6z0tcb2c&from=cmi&uid=HitachiXHTS547550A9E384_J2160051F817LCF817LCX","hxxp://www.mystartsearch.com/?type=hppp&ts=1435235078&z=3b49ba5f00aab7f4193fba0gbz1c9weo6c8w2e5b5q&from=cmi&uid=HitachiXHTS547550A9E384_J2160051F817LCF817LCX","hxxp://www.mystartsearch.com/?type=hp&ts=1435950802&z=eac9f3540afde269492a680gdz0c6w6taw4zdz4e9b&from=cmi&uid=HitachiXHTS547550A9E384_J2160051F817LCF817LCX","hxxp://www.mystartsearch.com/?type=hp&ts=1445686044&z=1dd98de366c5bdf7a44bafag1z5zaw6q6b1wbb9edz&from=cmi&uid=WDCXWD3200KS-00PFB0_WD-WCAPD166695766957"
2017-10-07 01:55 - 2017-10-07 01:55 - 000006517 _____ C:\Users\Настя\Как расшифровать файлы.TXT
2017-10-07 01:54 - 2017-10-07 01:54 - 000006517 _____ C:\Users\Калькулятор\Как расшифровать файлы.TXT
2017-10-07 01:54 - 2017-10-07 01:54 - 000006517 _____ C:\Users\Калькулятор\Downloads\Как расшифровать файлы.TXT
2017-10-07 01:54 - 2017-10-07 01:54 - 000006517 _____ C:\Users\Калькулятор\Documents\Как расшифровать файлы.TXT
2017-10-07 01:54 - 2017-10-07 01:54 - 000006517 _____ C:\Users\Калькулятор\Desktop\Как расшифровать файлы.TXT
2017-10-07 01:54 - 2017-10-07 01:54 - 000006517 _____ C:\Users\Все пользователи\Как расшифровать файлы.TXT
2017-10-07 01:54 - 2017-10-07 01:54 - 000006517 _____ C:\ProgramData\Как расшифровать файлы.TXT
2017-10-07 01:53 - 2017-10-07 01:53 - 000006517 _____ C:\Users\Виктория\Как расшифровать файлы.TXT
2017-10-07 01:53 - 2017-10-07 01:53 - 000006517 _____ C:\Users\Виктория\Desktop\Как расшифровать файлы.TXT
2017-10-07 01:53 - 2017-10-07 01:53 - 000006517 _____ C:\Users\Share\Как расшифровать файлы.TXT
2017-10-07 01:53 - 2017-10-07 01:53 - 000006517 _____ C:\Users\Public\Desktop\Как расшифровать файлы.TXT
2017-10-07 01:53 - 2017-10-07 01:53 - 000006517 _____ C:\Users\Kamila\Downloads\Как расшифровать файлы.TXT
2017-10-07 01:53 - 2017-10-07 01:53 - 000006517 _____ C:\Users\Kamila\Documents\Как расшифровать файлы.TXT
2017-10-07 01:53 - 2017-10-07 01:53 - 000006517 _____ C:\Users\Kamila\Desktop\Как расшифровать файлы.TXT
2017-10-07 01:53 - 2017-10-07 01:53 - 000006517 _____ C:\Users\Default\Как расшифровать файлы.TXT
2017-10-07 01:52 - 2017-10-07 01:52 - 000006517 _____ C:\Как расшифровать файлы.TXT
2017-10-07 01:52 - 2017-10-07 01:52 - 000006517 _____ C:\Users\Admin\Downloads\Как расшифровать файлы.TXT
2017-10-07 01:51 - 2017-10-07 01:59 - 000006517 _____ C:\Users\Admin\Как расшифровать файлы.TXT
2017-10-07 01:51 - 2017-10-07 01:59 - 000006517 _____ C:\Users\Admin\Desktop\Как расшифровать файлы.TXT
2017-10-05 21:58 - 2017-10-05 21:58 - 000077824 ____R C:\Users\Admin\AppData\Roaming\guide.exe
2015-04-19 15:20 - 2015-04-19 15:20 - 000005872 _____ () C:\Users\Admin\AppData\Roaming\6X06YWh
Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> No File <==== ATTENTION
Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> No File <==== ATTENTION
Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> No File <==== ATTENTION
FirewallRules: [{9B8FDB7B-F121-43E2-895E-DA70A434437F}] => (Allow) C:\Users\Kamila\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{FC8A15A2-1F02-48DA-ABDD-F757140BFE92}] => (Allow) C:\Users\Kamila\AppData\Local\MediaGet2\mediaget.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[user890]

Ситуация немного изменилась. Жесткий диск подключили к другому компьютеру. В текущей системе это диски K:\ и L:\

 

Ещё раз собрал логи.

CollectionLog-2017.10.12-14.17.zip

Addition.txt

FRST.txt

Shortcut.txt

[thyrex]

Это логи чистой машины и скрипт выше для нее уже не подойдет. Обратно все возвращайте. После зачистки мусора получите расшифровку.

[user890]

Это логи чистой машины и скрипт выше для нее уже не подойдет. Обратно все возвращайте. После зачистки мусора получите расшифровку.

То есть в данной конфигурации что-либо сделать нельзя?

[thyrex]

С чисткой мусора - да. На расшифровку это никак не влияет. Но она, повторюсь, только после чистки.

[user890]

Fixlog.txt

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[user890]

:

SecurityCheck by glax24 & Severnyj v.1.4.0.52 [25.07.17]
WebSite: www.safezone.cc
DateLog: 16.10.2017 18:42:38
Path starting: C:\Users\Admin\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Admin
VersionXML: 4.68is-14.10.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) HomeBasic Lang: Russian(0419)
Дата установки ОС: 14.10.2015 12:59:02
Статус лицензии: Windows® 7, HomeBasic edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [76.2 Гб] Занято: [71.3 Гб] Свободно: [4.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18282 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2016-04-27 12:15:57
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.7015.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Malwarebytes (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Malwarebytes (выключен и обновлен)
Windows Defender (включен и обновлен)
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes, версия 3.2.2.2029 v.3.2.2.2029
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer 12 v.12.0.83369
WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления
TeamViewer 12 (TeamViewer) - Служба работает
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat 4.0 v.4.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.61.0.3163.100
------------------ [ AntivirusFirewallProcessServices ] -------------------
Malwarebytes Service (MBAMService) - Служба остановлена
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

 

[thyrex]

Установите указанные обновления

 

+ проверьте ЛС

[user890]

@thyrex, Спасибо, всё расшифровалось.