kostey 0 Опубликовано 27 октября, 2017 Share Опубликовано 27 октября, 2017 Добрый день. Вчера были зашифрованы все имеющиеся файлы, сами файлы остались на месте, а в расширении добавилось .crypt Прилагаю пример зашифрованного файла и текстовый файл с инструкцией по восстановлению. Прикрепленные файлы CollectionLog-2017.10.27-10.00.zip files.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 октября, 2017 Share Опубликовано 27 октября, 2017 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 2) Кнопка "Яндекс" на панели задач, Менеджер браузеров - если сами не ставили (не используете) деинсталируйте. 3) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. 4) Поищите пару оригинальный и зашифрованный файл. Цитата Ссылка на сообщение Поделиться на другие сайты
kostey 0 Опубликовано 27 октября, 2017 Автор Share Опубликовано 27 октября, 2017 1 пункт выполнил https://virusinfo.info/showthread.php?t=215977 2 пункт выполнил 3 пункт выполнил файл прилагаю 4 пункт пару не нашел AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 27 октября, 2017 Share Опубликовано 27 октября, 2017 4 пункт пару не нашелИщите, это в Ваших же интересах. Ищите на других ПК, в почте, аналогичные картинки из папки c:\Users\Public\Pictures\ и т.п. Цитата Ссылка на сообщение Поделиться на другие сайты
kostey 0 Опубликовано 27 октября, 2017 Автор Share Опубликовано 27 октября, 2017 (изменено) Прикрепляю файлы к пункту 4 Desert.zip Изменено 27 октября, 2017 пользователем kostey Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 октября, 2017 Share Опубликовано 27 октября, 2017 Skype Click to Call - тоже советую деинсталировать. Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Цитата Ссылка на сообщение Поделиться на другие сайты
kostey 0 Опубликовано 27 октября, 2017 Автор Share Опубликовано 27 октября, 2017 все выполнил. Файл прикрепляю AdwCleanerC0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 октября, 2017 Share Опубликовано 27 октября, 2017 Пожалуйста, запустите adwcleaner.exe Нажмите File (Файл) Uninstall (Деинсталлировать). Подтвердите удаление нажав кнопку: Да. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.Отметьте галочкой также "Shortcut.txt".Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
kostey 0 Опубликовано 27 октября, 2017 Автор Share Опубликовано 27 октября, 2017 Прикладываю файлы FRST.txt Addition.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 октября, 2017 Share Опубликовано 27 октября, 2017 групповые политики сами настраивали? Skype Click to Call - так и не удалили. Цитата Ссылка на сообщение Поделиться на другие сайты
kostey 0 Опубликовано 27 октября, 2017 Автор Share Опубликовано 27 октября, 2017 политики сам не настраивал. skype click to call удалил вместе со скайпом Выкладываю заново файлы Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 27 октября, 2017 Share Опубликовано 27 октября, 2017 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: Start:: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2753054333-1240625506-1483120086-1249 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION HKU\S-1-5-21-2753054333-1240625506-1483120086-1249 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <==== ATTENTION HKU\S-1-5-21-2753054333-1240625506-1483120086-1249 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <==== ATTENTION HKU\S-1-5-21-2753054333-1240625506-1483120086-1249 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION AppInit_DLLs-x32: c:\progra~2\suptab\search~1.dll => No File HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-homes.com/?type=hp&ts=1419319036&from=wpm12233&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=1419319036&from=wpm12233&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2102} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=286&systemid=102&v=n12521-368&apn_uid=4246090212324440&apn_dtid=BND102&o=APN10646&apn_ptnrs=AG7&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1404389944&from=cor&uid=WDCXWD1502FAEX-007BA0_WD-WMAY0386813868138&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2102} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=286&systemid=102&v=n12521-368&apn_uid=4246090212324440&apn_dtid=BND102&o=APN10646&apn_ptnrs=AG7&q={searchTerms} FF user.js: detected! => C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\4zr9s3iz.default\user.js [2014-07-03] FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\4zr9s3iz.default -> Ask.com FF Extension: (No Name) - C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\4zr9s3iz.default\Extensions\{00fe044f-e66e-46a7-97c3-971338ebe390} [2014-07-03] [not signed] FF Extension: (No Name) - C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\4zr9s3iz.default\extensions\yasearch@yandex.ru [not found] FF Extension: (No Name) - C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\4zr9s3iz.default\extensions\staged\{00fe044f-e66e-46a7-97c3-971338ebe390} [not found] FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\zvb5kba5.default-1364484918578 -> Ask.com FF SelectedSearchEngine: Mozilla\Firefox\Profiles\zvb5kba5.default-1364484918578 -> delta-homes FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => not found FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\d.dudenkov\AppData\Roaming\Mozilla\Firefox\Profiles\zvb5kba5.default-1364484918578\extensions\faststartff@gmail.com => not found FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml [2014-06-04] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml [2013-02-19] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml [2014-12-23] FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\sweet-page.xml [2014-07-03] FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] CHR Extension: (No Name) - C:\Users\d.dudenkov\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-07-10] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Utime) - C:\Users\d.dudenkov\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpcibgnngaaabebmcabmkocdokepdaki [2015-01-12] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Skype Click to Call) - C:\Users\d.dudenkov\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2014-09-17] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION CHR Extension: (Google Wallet) - C:\Users\d.dudenkov\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-02-25] [UpdateUrl: hxxps://epicunitscan.info/00service/update2/crx] <==== ATTENTION 2017-10-26 07:54 - 2017-10-26 07:54 - 000006517 _____ C:\Users\user.TVAMEDIA\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\Администратор\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\Администратор\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\vitaliy\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\vitaliy\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\video\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\user\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\trykin\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\trykin\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\soloviev\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\soloviev\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\savchenko\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\savchenko\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\savcenko\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\savcenko\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2017-10-26 03:42 - 000006517 _____ C:\Users\sandzhieva\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\sandzhieva\Downloads\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\sandzhieva\Documents\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\sandzhieva\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\kvadratova\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\kvadratova\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\ksloushaenko\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\ksloushaenko\Downloads\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\ksloushaenko\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:41 - 2017-10-26 03:41 - 000006517 _____ C:\Users\Default\Инструкция по восстановлению файлов.TXT 2017-10-26 03:36 - 2017-10-26 03:36 - 000006517 _____ C:\Users\d.dudenkov\Downloads\Инструкция по восстановлению файлов.TXT 2017-10-26 03:36 - 2017-10-26 03:36 - 000006517 _____ C:\Users\d.dudenkov\Documents\Инструкция по восстановлению файлов.TXT 2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\d.dudenkov\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\alisenko\Инструкция по восстановлению файлов.TXT 2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\alisenko\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\administrator\Инструкция по восстановлению файлов.TXT 2017-10-26 03:28 - 2017-10-26 03:28 - 000006517 _____ C:\Users\administrator\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:27 - 2017-10-26 07:54 - 000006517 _____ C:\Users\user.TVAMEDIA\Desktop\Инструкция по восстановлению файлов.TXT 2017-10-26 03:42 - 2015-01-12 17:48 - 000000000 ____D C:\ProgramData\surFFkeeepit 2017-10-26 03:42 - 2015-01-12 17:48 - 000000000 ____D C:\ProgramData\deeal4real FirewallRules: [TCP Query User{2F5FA1C6-01AA-44BB-A276-3A564A7816F5}C:\program files (x86)\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe] => (Allow) C:\program files (x86)\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe FirewallRules: [UDP Query User{9A49A441-1452-4C41-B83A-7CA38C7A7C02}C:\program files (x86)\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe] => (Allow) C:\program files (x86)\kaspersky lab\kaspersky anti-virus 6.0 for windows workstations mp4\avp.exe EmptyTemp: Reboot: End::и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Компьютер будет перезагружен автоматически. Цитата Ссылка на сообщение Поделиться на другие сайты
kostey 0 Опубликовано 30 октября, 2017 Автор Share Опубликовано 30 октября, 2017 прикладываю файл Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 30 октября, 2017 Share Опубликовано 30 октября, 2017 проверьте ЛС. Цитата Ссылка на сообщение Поделиться на другие сайты
kostey 0 Опубликовано 30 октября, 2017 Автор Share Опубликовано 30 октября, 2017 Спасибо. Все расшифровалось. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.