Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Пришло в бухгалтерию письмо, тётки открыли по незнанию архив и произошло шифрование файлов,но видимо на этот раз -  что то новенькое. Расширения файлов увеличилось на  "   .h11xj22qpk " в конце и ни одно П,О. помочь в расшифровке не смогло. Может ещё есть шансы расшифровать файлы ? 

CollectionLog-2017.12.04-14.48.zip

report1.log

report2.log

Опубликовано

Здравствуйте!

 

Если есть записка с требованием выкупа (обычно это текстовый или html файл), ее и пару зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

А письмо ваши тетки сохранили или удалили с глаз долой?

  • Спасибо (+1) 1
Опубликовано (изменено)

Прикрепляю файлы отчетов, согласно действиям в изложенной Вами инструкции.

 

зы

Письмо удалили, в основной почте с сервера gmail.com его  удалил  видимо файрвол, а вот bat подтянул с сервера его в свою оболочку.  

 

Письмо от организации ООО "Строймаркет" называлось "Акт сверки"  .

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

Изменено пользователем Андрей061
Опубликовано

Письмо от организации

С какого оно было адреса можете посмотреть?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzu0B0C0A0E0CyD0AyCzy0FyD0FyEtA0FtAtN0D0Tzu0CtAzyyCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=603666176
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1Qzu0B0C0A0E0CyD0AyCzy0FyD0FyEtA0FtAtN0D0Tzu0CtAzyyCtN1L2XzutBtFtBtFtCtFyEtDyB&cr=603666176
    SearchScopes: HKU\S-1-5-21-1585616680-373563518-2556915518-1000 -> {6B9D5799-9824-3C0C-AD92-60D9147FF5A6} URL = hxxp://isearch.avg.com/search?cid={B27C39B3-058B-421D-B54D-9B2EC637FEB4}&mid=401f8b855c1c47d0b17e6de7834276ac-1066caac9d9f26e6ff3fc65f2786fe733188f31a&lang=ru&ds=lw011&pr=sa&d=2013-01-29 15:22:34&v=13.2.0.4&sap=dsp&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1585616680-373563518-2556915518-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B272F9185-CBC6-439C-A207-57B168EE0B76%7D&gp=789219
    BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    C:\Users\ASB7\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbjciahceamgodcoidkjpchnokgfpphh
    C:\Users\ASB7\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo
    Task: {4A9313B2-F2BA-4E4B-8985-A59DEAC357E7} - System32\Tasks\ROC_JAN2013_TB_ASB7 => C:\Program Files\AVG Secure Search\ROC_JAN2013_TB.exe
    Task: C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

К сожалению уже никто адреса не помнит, откуда пришло это письмо. 

Fixlog.txt

Опубликовано
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Иван Сецовский
      Автор Иван Сецовский
      Можете мне тоже помочь?
       

      Сообщение от модератора Mark D. Pearlstone Перемещено из темы Addition.txt
      FRST.txt
    • владVC11
      Автор владVC11
      Здравствуйте, не могли бы вы помочь раскодировать файлы на съёмном носителе (диске)?
    • Jenechka2012
      Автор Jenechka2012
      ПОМОГИТЕ ПОЖАЛУЙСТА! Не знаю что делать.... нигде ничего найти не могу, как это исправить. 
       
       # AdwCleaner v5.013 - Отчёт создан 13/10/2015 в 17:02:00
      # Обновлено 09/10/2015 by Xplode
      # База данных : 2015-10-09.3 [Сервер]
      # Операционная система : Windows 7 Home Basic Service Pack 1 (x86)
      # Пользователь : Мегафон - MEGAFON
      # Запущено из : C:\Users\Мегафон\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E2V253GF\adwcleaner_5.013.exe
      # Настройка : Очистка
      # помощь : http://toolslib.net/forum
       
      ***** [ Службы ] *****
       
       
      ***** [ Папки ] *****
       
      [-] Папка Удалено : C:\ProgramData\Media Get LLC
      [#] Папка Удалено : C:\ProgramData\mntemp
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Local\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Media Get LLC
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\yasearch@yandex.ru
      [-] Папка Удалено : C:\Users\Мегафон\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\staged\vb@yandex.ru
       
      ***** [ Файлы ] *****
       
      [-] Файл Удалено : C:\Users\Мегафон\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk
       
      ***** [ DLLs ] *****
       
       
      ***** [ Ярлыки ] *****
       
       
      ***** [ Запланированные задания ] *****
       
       
      ***** [ Реестр ] *****
       
      [-] Ключ Удалено : HKCU\Software\Media Get LLC
      [-] Ключ Удалено : HKCU\Software\MediaGet
      [-] Ключ Удалено : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MediaGet
       
      ***** [ Веб браузеры ] *****
       
       
      *************************
       
      :: Настройки Winsock очищены
       
      ########## EOF - C:\AdwCleaner\AdwCleaner[C1].txt - [1665 байт] ##########
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы
    • ScorpOfRus
      Автор ScorpOfRus
      Всем привет
      Пришло письмо на почту открыл его и соответственно получил
      зашифрованные файлы
      Файл шифровальщика сохранился
      Лог прикрепил
      CollectionLog-2015.10.04-17.08.zip
    • Алексей Нечуйветер
      Автор Алексей Нечуйветер
      Добрый день!
       
      Пришло письмо от судебных приставов, открыли, там находился архив, его не открывали. после закрытия письма система подвисла и все документы изменили название и формат.
       
      Подскажите что можно сделать, LOG файл сделал! 
      KL_syscure.zip
×
×
  • Создать...