Перейти к содержанию

Шифровальщик scrab

kostey
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте включена ли эта настройка.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Orbitum

Unity Web Player

Служба автоматического обновления программ

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Соберите свежие логи FRST:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt

Символ в квадратных скобках должен быть [C], а не
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-2753054333-1240625506-1483120086-1619 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION
HKU\S-1-5-21-2753054333-1240625506-1483120086-1619 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <==== ATTENTION
HKU\S-1-5-21-2753054333-1240625506-1483120086-1619 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <==== ATTENTION
HKU\S-1-5-21-2753054333-1240625506-1483120086-1619 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION
Toolbar: HKU\S-1-5-21-2753054333-1240625506-1483120086-1619 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\Администратор\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\Администратор\Downloads\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\Администратор.TVAMEDIA\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\Администратор.TVAMEDIA\Downloads\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\Администратор.TVAMEDIA\Documents\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\Администратор.TVAMEDIA\Desktop\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\video\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\video\Downloads\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\video\Documents\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\video\Desktop\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\user\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\user\Downloads\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\user\Documents\Инструкция по расшифровке.TXT
2018-01-20 03:03 - 2018-01-20 03:03 - 000003688 _____ C:\Users\user\Desktop\Инструкция по расшифровке.TXT
2018-01-20 03:02 - 2018-01-20 03:02 - 000003688 _____ C:\Users\revyakin_v\Инструкция по расшифровке.TXT
2018-01-20 03:02 - 2018-01-20 03:02 - 000003688 _____ C:\Users\revyakin_v\Downloads\Инструкция по расшифровке.TXT
2018-01-20 03:02 - 2018-01-20 03:02 - 000003688 _____ C:\Users\revyakin_v\Documents\Инструкция по расшифровке.TXT
2018-01-20 03:02 - 2018-01-20 03:02 - 000003688 _____ C:\Users\revyakin_v\Desktop\Инструкция по расшифровке.TXT
2018-01-20 03:02 - 2018-01-20 03:02 - 000003688 _____ C:\Users\Public\Инструкция по расшифровке.TXT
2018-01-20 03:02 - 2018-01-20 03:02 - 000003688 _____ C:\Users\Public\Downloads\Инструкция по расшифровке.TXT
2018-01-20 03:02 - 2018-01-20 03:02 - 000003688 _____ C:\Users\Public\Documents\Инструкция по расшифровке.TXT
2018-01-20 03:00 - 2018-01-20 03:00 - 000003688 _____ C:\Users\buchneva.d\Documents\Инструкция по расшифровке.TXT
2018-01-19 20:19 - 2018-01-19 20:19 - 000003869 _____ C:\Users\buchneva.d\Инструкция по расшифровке.TXT.scarab
2018-01-19 20:19 - 2018-01-19 20:19 - 000003869 _____ C:\Users\buchneva.d\Desktop\Инструкция по расшифровке.TXT.scarab
2018-01-19 20:19 - 2018-01-19 20:19 - 000003688 _____ C:\Users\buchneva.d\Инструкция по расшифровке.TXT
2018-01-19 20:19 - 2018-01-19 20:19 - 000003688 _____ C:\Users\buchneva.d\Desktop\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\buchneva\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\buchneva\Downloads\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\buchneva\Documents\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\buchneva\Desktop\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\alisenko\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\alisenko\Downloads\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\alisenko\Documents\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\alisenko\Desktop\Инструкция по расшифровке.TXT
2018-01-19 20:18 - 2018-01-19 20:18 - 000003688 _____ C:\Users\1111buchneva.TVAMEDIA\Инструкция по расшифровке.TXT
2018-01-19 20:11 - 2018-01-19 20:11 - 000003688 _____ C:\Инструкция по расшифровке.TXT
2018-01-19 19:54 - 2018-01-03 03:43 - 000193024 _____ C:\Users\user\AppData\Roaming\sevnz.exe
2017-12-24 14:01 - 2017-12-24 14:01 - 000000365 _____ C:\Users\buchneva.d\Desktop\Искать в Интернете.url.scarab
2017-08-18 16:40 - 2017-08-11 17:20 - 001314008 _____ (Mail.Ru) C:\Users\buchneva.d\AppData\Local\Temp\3fc7-b584-7a95-bac8.exe
2016-08-05 18:47 - 2016-12-22 18:00 - 052703976 _____ (Mail.Ru) C:\Users\buchneva.d\AppData\Local\Temp\amigo_setup.exe
2018-01-22 13:51 - 2017-08-11 17:20 - 001314008 _____ (Mail.Ru) C:\Users\buchneva.d\AppData\Local\Temp\c4bb-1089-8024-f819.exe
2015-04-10 10:43 - 2014-11-24 18:04 - 000145904 _____ () C:\Users\buchneva.d\AppData\Local\Temp\downloader.exe
2016-02-10 18:37 - 2016-02-10 18:37 - 000119808 _____ () C:\Users\buchneva.d\AppData\Local\Temp\exereader.exe
2016-10-10 18:45 - 2016-10-10 18:45 - 063332288 _____ (The Orbitum Authors) C:\Users\buchneva.d\AppData\Local\Temp\mini_installer_new.exe
2016-09-02 13:43 - 2017-07-03 17:44 - 004087000 _____ (Mail.Ru) C:\Users\buchneva.d\AppData\Local\Temp\mrutmp.exe
AlternateDataStreams: C:\Users\buchneva.d\Desktop\!_фото сотрудников ТВА:AFP_AFPINFO [122]
FirewallRules: [{E2419AF7-32A0-4D16-81F0-8C98777B3198}] => (Allow) C:\Users\buchneva.d\AppData\Local\Orbitum\Application\orbitum.exe
FirewallRules: [TCP Query User{32953340-4424-4D47-A899-0C6FDF86A362}C:\users\buchneva.d\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Allow) C:\users\buchneva.d\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe
FirewallRules: [UDP Query User{2DE5CFD1-F964-485B-95A1-9AC2954A8A37}C:\users\buchneva.d\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Allow) C:\users\buchneva.d\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe
FirewallRules: [TCP Query User{0C62EF3B-8E4F-4FDA-9702-395691B6EAD8}C:\users\buchneva.d\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Block) C:\users\buchneva.d\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe
FirewallRules: [UDP Query User{513A2DC4-966F-4131-80C2-C98E958F83D1}C:\users\buchneva.d\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Block) C:\users\buchneva.d\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Дополнительно, пожалуйста:

 

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
Zip: c:\FRST\Quarantine\
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Sandor

Sandor

Опубликовано
Опубликовано

Файл 22.01.2018_15.45.12.zip с рабочего стола отправили по указанному адресу?

kostey

kostey

Опубликовано
  • Автор
Опубликовано

не могу отправить, так как яндекс пишет что файл заражен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • GreyEnterprises
      Шифровальщик .omerta
      Автор GreyEnterprises
      10.12.2018 в 12.55 по полудню, меньше чем за 5 минут, было зашифровано 14 Гб вордовских и экселевских документов. причиной тому стало открытие 445 порта во внешку и общего доступа к флэшке на 16 Гб. документы на остальных дисках успел сохранить. За такое короткое время менее 5 Мин, нереально полностью изменить содержание каждого файла. Предполагаю, что изменения файлу были применены незначительные из этого следует, что по содержанию данных в файле, возможно его восстановить.
      Резервных копий всех файлов нет.
      Так же не имею лицензии на Антивирус Касперского.
      Прошу помощи в расшифровке файлов.
      прикрепляю два файла из 1с оригинальное расширение *.mxl  (отчеты 1с 7.7)
      и текстовый файл который был создан в этой же папке.
       
      в архиве, пароль 1111

      p.s. В этой теме, случай восстановления данных был подтвержден пострадавшим. 
      https://forum.kasperskyclub.ru/index.php?showtopic=60777&hl=omerta
      1111.rar
    • ksann
      Вирус шифровальщик *.tribute
      Автор ksann
      Здравствуйте!
      Зашифровались файлы на сервере, теперь у них расширение - *.tribute
      Не встречался вам такой зверенок?
      Рядом остается файл - HOW TO RECOVER ENCRYPTED FILES.txt
      p9NCgWyuwcB8eH19pDrr=4O6.tribute.txt - зашифрованный файл, только без расширения "txt"Напишите пожалуйста если вам пришлось с ним встретиться, как решили проблему с расшифровкой файлов? 
      HOW TO RECOVER ENCRYPTED FILES.TXT
      p9NCgWyuwcB8eH19pDrr=4O6.tribute.txt
    • _Пэ_
      Поймали шифровальщик *.lol Возможно-ли расшифровать?
      Автор _Пэ_
      Здравствуйте.
      Поймали вчера на сервер(через РДП) шифровальщик - все файлы кроме системных зашифрованы: вместо имени абракадабра.lol
      Лог во вложении.
      CollectionLog-2018.12.20-13.18.zip
    • UserUser_39
      Шифровальщик Omerta зашифровал файлы ПОМОГИТЕ!
      Автор UserUser_39
      Возможно ли расшифровать??
      CollectionLog-2018.12.17-09.44.zip
    • sdialups
      Вирус .lol шифровальщик
      Автор sdialups
      Добрый день! Прошу помощи в расшифровке вируса. Текст во вложении.
      Шифр.txt
×
×
  • Создать...