Перейти к содержанию

Help50 Ransomware зашифровал файлы

Paul Over
 Share

Рекомендуемые сообщения

Paul Over Новичок

Paul Over

Опубликовано
Опубликовано

Здравствуйте! Был запущен файл Project1.exe , спустя небольшой промежуток времени понял, что что-то не так и выгрузил данный процесс из диспетчера задач. Немного позже заметил, что часть файлов на жёстком диске зашифрованы с расширением *.dat , в папках с файлами находится DecryptFiles.txt .

Проверка системы Kaspersky Virus Removal Tool 2015 угроз не выявило. Файл логов прикрепляю. Прошу помочь.

CollectionLog-2017.12.15-02.15.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

AVG PC TuneUp удалите через Установку программ.

 

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\Users\Paul\AppData\Roaming\SETUPS~1\python\pythonw.exe','32');
 DeleteFile('C:\Users\Paul\AppData\Roaming\SETUPS~1\ml.py','32');
 DeleteFile('C:\Users\Paul\AppData\Roaming\setupsk\ml.py','32');
 DeleteFile('C:\Users\Paul\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\setupsk_upd','64');
ExecuteSysClean;
ExecuteRepair(9); 
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Поишите пару - шифрованный-нешифрованный - одного и того же файла и прикрепите в архиве к следующему сообщению.

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2017-12-14 11:41 - 2017-12-14 11:41 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignf13eb290da8e03e5
2017-12-14 11:41 - 2017-12-14 11:41 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign21cea527c742151a
2017-12-13 20:41 - 2017-12-13 20:41 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign789b40024deb7be1
2017-12-13 20:41 - 2017-12-13 20:41 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign35a4a08364a20056
2017-12-13 18:31 - 2017-12-13 18:31 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignc65d9d1933ee7ab1
2017-12-13 18:31 - 2017-12-13 18:31 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign8be57d4d7ced3a39
2017-12-11 17:39 - 2017-12-11 17:39 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignf82d3a1c59abb217
2017-12-11 17:39 - 2017-12-11 17:39 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd97181e6a9ead2bd
2017-12-11 17:33 - 2017-12-11 17:33 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign9689eb4219b5087e
2017-12-11 17:33 - 2017-12-11 17:33 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign736c1da4c09a32d9
2017-12-11 13:37 - 2017-12-11 13:37 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignaa6796d8fdfd1380
2017-12-11 13:37 - 2017-12-11 13:37 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign72065aa3e3dabd2b
2017-12-06 17:07 - 2017-12-06 17:07 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignb1d74ee545df0339
2017-12-06 17:07 - 2017-12-06 17:07 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign950825de23e4ce2d
2017-12-06 14:54 - 2017-12-06 14:54 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignfc6418a3c0ddbf5f
2017-12-06 14:54 - 2017-12-06 14:54 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign4dd8b52ca587205d
2017-12-06 12:54 - 2017-12-06 12:54 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd8c121dca2a5e8f9
2017-12-06 12:54 - 2017-12-06 12:54 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignccb8f34fe7f4d487
2017-12-01 13:02 - 2017-12-01 13:02 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd09d050ec776c155
2017-12-01 13:02 - 2017-12-01 13:02 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign06cc9e29805120d0
2017-11-29 20:44 - 2017-11-29 20:44 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign8ccdef0c75004820
2017-11-29 20:44 - 2017-11-29 20:44 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign7708267d6a8f0fa7
2017-11-29 20:37 - 2017-11-29 20:37 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigne606a09bd0a2c635
2017-11-29 20:37 - 2017-11-29 20:37 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign6f95cfef2e78fa99
2017-11-29 17:53 - 2017-11-29 17:53 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd36ff7d19929b723
2017-11-29 17:53 - 2017-11-29 17:53 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign8508b21da1227193
2017-11-29 16:46 - 2017-11-29 16:46 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignabb200fefbe43315
2017-11-29 16:46 - 2017-11-29 16:46 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign8f27dbbd2a441e2a
2017-11-22 15:01 - 2017-11-22 15:01 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigndde99a1030ccb33e
2017-11-22 15:01 - 2017-11-22 15:01 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1453188dd4a8a4d0
2017-11-18 15:52 - 2017-11-18 15:52 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigndef27d6ff770c443
2017-11-18 15:52 - 2017-11-18 15:52 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign7932d545a443075c
2017-11-18 02:12 - 2017-11-18 02:12 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd6c69e019c8356fe
2017-11-18 02:12 - 2017-11-18 02:12 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign99a97cb4096b2328
2017-11-17 19:21 - 2017-11-17 19:21 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigne160a89b22ae47ea
2017-11-17 19:21 - 2017-11-17 19:21 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigna1533cf579d71ef8
2017-11-17 12:57 - 2017-11-17 12:57 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignadd626708c0451ec
2017-11-17 12:57 - 2017-11-17 12:57 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign84016e82c883ca34
2017-11-14 15:06 - 2017-11-14 15:06 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign87a742c58e4d0241
2017-11-14 15:05 - 2017-11-14 15:05 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign5691a35c852bedb2
2017-11-12 21:22 - 2017-11-12 21:22 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign922e7922b069b92b
2017-11-12 21:22 - 2017-11-12 21:22 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign4d6e02028deaa95b
2017-11-07 14:17 - 2017-11-07 14:17 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignff4e4ee54e88644e
2017-11-07 14:17 - 2017-11-07 14:17 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign68d24a1735f96004
2017-11-07 12:25 - 2017-11-07 12:25 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd1c510944ef1ce79
2017-11-07 12:25 - 2017-11-07 12:25 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign47867c3054b52c4c
2017-11-07 10:35 - 2017-11-07 10:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign488ba0a75bd170e3
2017-11-07 10:35 - 2017-11-07 10:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign43d24b8ecbb0bd8d
2017-11-07 10:11 - 2017-11-07 10:11 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignb334c466b993aa08
2017-11-07 10:11 - 2017-11-07 10:11 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign2cfb6ffbf8d1cff1
2017-11-07 10:10 - 2017-11-07 10:10 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignb70739fb22db68e6
2017-11-07 10:10 - 2017-11-07 10:10 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigna223ecc6db569843
2017-11-07 10:08 - 2017-11-07 10:08 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignc5274254c5b8e7ae
2017-11-07 10:08 - 2017-11-07 10:08 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignb38ffda60500cfe1
2017-11-07 10:03 - 2017-11-07 10:03 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignb1064f087b744b70
2017-11-07 10:03 - 2017-11-07 10:03 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign4b284b824618aa19
2017-11-06 23:46 - 2017-11-06 23:46 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign85f471e735e10a8e
2017-11-06 23:46 - 2017-11-06 23:46 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign31cb2485b2a4b01e
2017-11-06 23:43 - 2017-11-06 23:43 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignea1bfeb3cd49fe73
2017-11-06 23:43 - 2017-11-06 23:43 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignb67136cefc6fe9e4
2017-11-06 23:43 - 2017-11-06 23:43 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign38bb3de070c7dc8f
2017-11-06 23:43 - 2017-11-06 23:43 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign3022a47e77fd5330
2017-11-06 23:43 - 2017-11-06 23:43 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign294422f83db2ee5a
2017-11-06 23:35 - 2017-11-06 23:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignb1d4c5acd06e5101
2017-11-06 23:35 - 2017-11-06 23:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1d0a2acb9ace6af3
2017-11-06 23:32 - 2017-11-06 23:32 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign83b0ef506f1fadc6
2017-11-06 23:32 - 2017-11-06 23:32 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign0c982fe2b2cd70bc
2017-11-06 23:23 - 2017-11-06 23:23 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignbde4f817fc9e8c23
2017-11-06 23:23 - 2017-11-06 23:23 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign6185db72a2959170
2017-11-06 23:19 - 2017-11-06 23:19 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignfae9d005f4ba1a46
2017-11-06 23:19 - 2017-11-06 23:19 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign9b9ca7667906939f
2017-11-06 23:19 - 2017-11-06 23:19 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign2dd27784a8ea8239
2017-11-06 23:19 - 2017-11-06 23:19 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1d7e80ef1513d1a7
2017-11-06 23:19 - 2017-11-06 23:19 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1a7965baff770e58
2017-11-06 23:16 - 2017-11-06 23:16 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigncdc1a848692098eb
2017-11-06 23:16 - 2017-11-06 23:16 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign7cf07c906153b054
2017-11-06 23:16 - 2017-11-06 23:16 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign752728778e95df2a
2017-11-06 23:16 - 2017-11-06 23:16 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign519c876374fbc799
2017-11-06 23:16 - 2017-11-06 23:16 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign47848f9db3b2e99f
2017-11-06 21:58 - 2017-11-06 21:58 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignf507f57cd2c39bff
2017-11-06 21:58 - 2017-11-06 21:58 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignb40209a5d059be06
2017-11-06 18:36 - 2017-11-06 18:36 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd7f67915208811cb
2017-11-06 17:51 - 2017-11-06 17:51 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign79f5310b8820c1f3
2017-11-06 17:51 - 2017-11-06 17:51 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign0fe32ca8e69b5823
2017-11-06 17:35 - 2017-11-06 17:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignaf6a45492f3eb2c3
2017-11-06 17:35 - 2017-11-06 17:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign7678195f3f3c037a
2017-11-06 17:35 - 2017-11-06 17:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign7424b0739c0f8b3d
2017-11-06 17:35 - 2017-11-06 17:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign6dec6859ddcec1cd
2017-11-06 17:35 - 2017-11-06 17:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign5d2b10205006d1bd
2017-11-02 20:01 - 2017-11-02 20:01 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign98dc6311c7d26e17
2017-11-02 20:01 - 2017-11-02 20:01 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign13dbacc65e7d60d9
2017-11-02 19:57 - 2017-11-02 19:57 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignf44d5e1640d25873
2017-11-02 19:57 - 2017-11-02 19:57 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigne2a79c1819e172a1
2017-11-02 19:57 - 2017-11-02 19:57 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignc2cc3d88b95173b1
2017-11-02 19:57 - 2017-11-02 19:57 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignad26f59aa3638d4d
2017-11-02 19:57 - 2017-11-02 19:57 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign4d65fbc39131e564
2017-11-02 19:24 - 2017-11-02 19:24 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign68e7d9dca654c664
2017-11-02 19:24 - 2017-11-02 19:24 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign127f4478be0a4590
2017-11-02 15:32 - 2017-11-02 15:32 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigne121cd90daca4f10
2017-11-02 15:32 - 2017-11-02 15:32 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign3cd938296e80a89b
2017-11-02 15:24 - 2017-11-02 15:24 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigndb3c8f8e72e8cf32
2017-11-02 15:24 - 2017-11-02 15:24 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignbd6fb81bff044962
2017-11-02 15:24 - 2017-11-02 15:24 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign619dc0437bc68f6d
2017-11-02 15:24 - 2017-11-02 15:24 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign076e6fa385ca0022
2017-11-02 14:51 - 2017-11-02 14:51 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignfbf2c4cfc2dd7898
2017-11-02 14:51 - 2017-11-02 14:51 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign9da4441cd8b2f07b
2017-11-02 13:38 - 2017-11-02 13:38 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign41f45c5e498bb97c
2017-11-02 13:38 - 2017-11-02 13:38 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign347b131c433c6fab
2017-11-02 13:16 - 2017-11-02 13:16 - 000000000 ____D C:\WINDOWS\System32\Tasks\Apple
2017-11-02 00:03 - 2017-11-02 00:03 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign996ea9281192afce
2017-11-02 00:03 - 2017-11-02 00:03 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign5e8fdea9bc719eb7
2017-11-01 23:50 - 2017-11-01 23:50 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignf66baf8100ec6e85
2017-11-01 23:45 - 2017-11-01 23:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign73f8ac3909f19abc
2017-11-01 23:45 - 2017-11-01 23:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign6f8e3d3222df48bb
2017-11-01 23:45 - 2017-11-01 23:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign5c55187faf60822a
2017-11-01 23:45 - 2017-11-01 23:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign309f3b9bc2d0b462
2017-11-01 23:45 - 2017-11-01 23:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign045df809520b86a8
2017-11-01 23:35 - 2017-11-01 23:35 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1edb3b952f8d97a5
2017-11-01 23:33 - 2017-11-01 23:33 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignbc1e046ac96f2e9d
2017-11-01 23:33 - 2017-11-01 23:33 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigna29e463204aa3176
2017-11-01 23:33 - 2017-11-01 23:33 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign7dd2a5defafd6cfc
2017-11-01 23:33 - 2017-11-01 23:33 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign5b440de9ea4a29e0
2017-11-01 23:33 - 2017-11-01 23:33 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1bbc8bd0caef5ffb
2017-11-01 23:26 - 2017-11-01 23:26 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigncc82442b0b0df04d
2017-11-01 23:26 - 2017-11-01 23:26 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1a9a02380b868adb
2017-11-01 23:22 - 2017-11-01 23:22 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign8ab959b499c203bf
2017-11-01 23:22 - 2017-11-01 23:22 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign40f11df221e59779
2017-11-01 17:30 - 2017-11-01 17:30 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigne0144e3d4a0dd67a
2017-11-01 17:30 - 2017-11-01 17:30 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1ed3c68307620676
2017-11-01 01:38 - 2017-11-01 01:38 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign49e8c1dd791f03d9
2017-11-01 01:38 - 2017-11-01 01:38 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign0c48277f40540985
2017-11-01 01:22 - 2017-11-01 01:22 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignebd0c9439a248ad2
2017-11-01 01:22 - 2017-11-01 01:22 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignc4dae1470f228181
2017-11-01 00:41 - 2017-11-01 00:41 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignab322c52ba6bc9c8
2017-11-01 00:41 - 2017-11-01 00:41 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign3b0e8a5698547d94
2017-11-01 00:17 - 2017-11-01 00:17 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignf4508476288d56a6
2017-11-01 00:16 - 2017-11-01 00:16 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigna761ae7e69755b32
2017-11-01 00:14 - 2017-11-01 00:14 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign9f1eb5698a507bc8
2017-11-01 00:12 - 2017-11-01 00:12 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigne53155b45ad5581a
2017-11-01 00:10 - 2017-11-01 00:10 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign88ad35600728f6f7
2017-11-01 00:01 - 2017-11-01 00:01 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigncb8c3097b89dafde
2017-11-01 00:01 - 2017-11-01 00:01 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1dbbfe73ba8b41af
2017-10-31 23:56 - 2017-10-31 23:56 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign6d9f90647308cda4
2017-10-31 23:56 - 2017-10-31 23:56 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign0036638d9d74340c
2017-10-31 23:55 - 2017-10-31 23:55 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign3e4cc972e88077a8
2017-10-31 23:54 - 2017-10-31 23:54 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign8829bcb2ae3751c1
2017-10-31 23:54 - 2017-10-31 23:54 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign635f28b12abb6208
2017-10-31 23:53 - 2017-10-31 23:53 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign26d52bfd4ee5512d
2017-10-31 23:49 - 2017-10-31 23:49 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignac40a0086d8ec4ce
2017-10-31 23:49 - 2017-10-31 23:49 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign502f4fbeb172e660
2017-10-31 23:47 - 2017-10-31 23:47 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign208ac2a3fdc3a77e
2017-10-31 23:45 - 2017-10-31 23:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignf989ac2783e8bafe
2017-10-31 23:45 - 2017-10-31 23:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign80b1fb615dd544de
2017-10-31 23:40 - 2017-10-31 23:40 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign28943ef761aace7b
2017-10-31 23:40 - 2017-10-31 23:40 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign12e4fe718aca0575
2017-10-26 22:20 - 2017-10-26 22:20 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign89ece0b1f4efd170
2017-10-26 22:20 - 2017-10-26 22:20 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign3a31895ec083028d
2017-10-26 13:20 - 2017-10-26 13:20 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigneb7cd996592b0a0e
2017-10-26 13:20 - 2017-10-26 13:20 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigne4a04146a9111845
2017-10-25 23:56 - 2017-10-25 23:56 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign6ce984a13cee7bb0
2017-10-25 23:56 - 2017-10-25 23:56 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign52715d3110e8ed51
2017-10-25 23:34 - 2017-10-25 23:34 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd6db883e4e311944
2017-10-25 23:34 - 2017-10-25 23:34 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd1ecaa882e79f21a
2017-10-25 23:34 - 2017-10-25 23:34 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign4e527566ef07b737
2017-10-25 23:34 - 2017-10-25 23:34 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign429754e204bac040
2017-10-25 23:34 - 2017-10-25 23:34 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1fa359297c5dd9a9
2017-10-25 22:32 - 2017-10-25 22:32 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigndc070cd99093d254
2017-10-25 21:34 - 2017-10-25 21:34 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign5af4467e39031acb
2017-10-25 21:34 - 2017-10-25 21:34 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign16116f65f05634e9
2017-10-25 15:02 - 2017-10-25 15:02 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignfd8389d7e625e890
2017-10-25 15:02 - 2017-10-25 15:02 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign4d62eb98d1ff71e9
2017-10-25 13:43 - 2017-10-25 13:43 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignc0940e1b1a059240
2017-10-25 13:43 - 2017-10-25 13:43 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign014916ab4b58e33b
2017-10-25 13:25 - 2017-10-25 13:25 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignaca6fbc2421e1dcc
2017-10-25 13:25 - 2017-10-25 13:25 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign7caaa14898a3ba00
2017-10-23 18:25 - 2017-10-23 18:25 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignd04be16495967af0
2017-10-23 18:25 - 2017-10-23 18:25 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1fc83c450137401d
2017-10-23 17:46 - 2017-10-23 17:46 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignc83830cf4102dcb3
2017-10-23 17:45 - 2017-10-23 17:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignc6cdadcdafd37c19
2017-10-23 17:45 - 2017-10-23 17:45 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign371a276f82c55a1c
2017-10-23 17:44 - 2017-10-23 17:44 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignbb12109a75fad0c8
2017-10-23 17:44 - 2017-10-23 17:44 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsigna511631283ea047f
2017-10-23 17:44 - 2017-10-23 17:44 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1ee8c5044fb7936f
2017-10-23 17:01 - 2017-10-23 17:01 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsignaa9ceb65784bef1c
2017-10-23 17:01 - 2017-10-23 17:01 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign1a295eb3fdee128f
2017-10-23 14:02 - 2017-10-23 14:02 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign570daae55698f5bc
2017-10-23 14:02 - 2017-10-23 14:02 - 000000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign2815f066f720b480
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Task: {02C6DF0A-3FF8-4C62-9681-126355ACDD15} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {02FB152F-87B1-4514-8940-BB5B710E4A6F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {09DDF337-DAA8-4339-ACA8-9EFF7E71363E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {175DF453-1345-411E-8C2E-D672632F0261} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {24446DF8-604F-4D96-8913-4C700EAD8612} - \setupsk_upd -> No File <==== ATTENTION
Task: {257BFE71-4075-469B-8DFE-8533CE2B0286} - \WPD\SqmUpload_S-1-5-21-2940350049-1413429267-502101088-1005 -> No File <==== ATTENTION
Task: {293FC02C-D5E1-4552-985C-E32A68D4003D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {2FDCDA85-9D60-4B66-8B1D-2ED120912F27} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {4827C6A1-85A2-4989-91EA-9E652245C60E} - \MSI -> No File <==== ATTENTION
Task: {60F54B1F-FC01-44EE-B209-E28DBF91CEB8} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {73735C31-D456-4846-959E-669ADE0BD763} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {8737D334-BBF7-49A6-8E9B-336E8D909E38} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {8979AD9D-DA7A-4CB3-B3A5-9CB069B13676} - \setupsk -> No File <==== ATTENTION
Task: {90535632-7237-4976-B7C3-8B90713A3EF0} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {B19AE11F-25BC-4671-96B8-577C2C734B65} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {C56BCF4B-BDBD-4018-B4F0-14D7EFF2EDFB} - \WPD\SqmUpload_S-1-5-21-2940350049-1413429267-502101088-1001 -> No File <==== ATTENTION
Task: {C81A6292-13AB-4AD5-BF1E-156224D41901} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {CB36C350-D865-48CC-87A6-BA196F612885} - \WPD\SqmUpload_S-1-5-21-2940350049-1413429267-502101088-1004 -> No File <==== ATTENTION
Task: {CE8DCC58-7756-4FFD-BFED-7F0AFAFA0718} - \WPD\SqmUpload_S-1-5-21-2940350049-1413429267-502101088-1003 -> No File <==== ATTENTION
HKU\S-1-5-21-2940350049-1413429267-502101088-1001\...\StartupApproved\Run: => "ycAutoLaunch_47C7558FF59964DC672FBC3A06E645FD"
HKU\S-1-5-21-2940350049-1413429267-502101088-1001\...\StartupApproved\Run: => "umexisldmv"
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте! Был запущен файл Project1.exe , спустя небольшой промежуток времени понял, что что-то не так и выгрузил данный процесс из диспетчера задач.

Файл сохранился? Если да, то нужна вся папка, где он был обнаружен. Присылать в ЛС архив ссылкой на яндекс-диск
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Автор в этой версии шифратора исправил ошибку версии от 8 декабря при генерации ключа. Теперь для каждого файла свой ключ. Потому без известного только ему приватного RSA-2048 ключа расшифровать не получится.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • BeckOs
      Зашифрованы все файлы
      От BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • BtrStr102
      Зашифрованы все файлы
      От BtrStr102
      Здравствуйте, утром зашёл в пк. Все файлы с разрешением AriSPiHDt. Удаляешь это окончание. Не открывает. Вес файлов не изменен.
       
      Антивирусы ничего не нашли.
       
       
       
       
       
       
       
       
    • timmonn
      Зашифрованы все файлы.
      От timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      От Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
×
×
  • Создать...