поймал шифровальщика !

24 апреля, 2018

Добрый день!

Сегодня вечером произошло заражение шифровальщиком.

Прошу помощи!

CollectionLog-2018.04.24-22.01.zip

24 апреля, 2018

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

24 апреля, 2018

Здравствуйте,

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Addition.txt

FRST.txt

24 апреля, 2018

Это RSAUtil и расшифровки нет (нашими силами). Только зачистка следов вируса.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Windows\System32\Drivers\3C3C099.sys
File: C:\Users\User\Desktop\DECODE_ALL_FILES.bat
Zip: C:\Users\User\Desktop\DECODE_ALL_FILES.bat
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Все пользователи\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\AppData\Local\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Public\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Public\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Public\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Public\Desktop\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\Desktop\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\AppData\Local\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\Desktop\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\AppData\Local\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default User\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default User\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default User\AppData\Local\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\ProgramData\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\ProgramData\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\How_return_files.txt
Folder: C:\Users\User\AppData\Roaming\Process Hacker 2
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ () C:\Users\User\AppData\Local\How_return_files.txt
AlternateDataStreams: C:\ProgramData\TEMP:638A134E [146]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:638A134E [146]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

25 апреля, 2018

Это RSAUtil и расшифровки нет (нашими силами). Только зачистка следов вируса.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Windows\System32\Drivers\3C3C099.sys
File: C:\Users\User\Desktop\DECODE_ALL_FILES.bat
Zip: C:\Users\User\Desktop\DECODE_ALL_FILES.bat
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Все пользователи\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\User\AppData\Local\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Public\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Public\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Public\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Public\Desktop\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\Desktop\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\postgres_service\AppData\Local\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\Desktop\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default\AppData\Local\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default User\Downloads\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default User\Documents\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\Users\Default User\AppData\Local\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\ProgramData\Microsoft\Windows\Start Menu\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\ProgramData\How_return_files.txt
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ C:\How_return_files.txt
Folder: C:\Users\User\AppData\Roaming\Process Hacker 2
2018-04-24 18:55 - 2018-04-24 20:11 - 000000278 _____ () C:\Users\User\AppData\Local\How_return_files.txt
AlternateDataStreams: C:\ProgramData\TEMP:638A134E [146]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:638A134E [146]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Fixlog.txt

25 апреля, 2018

Пробуйте выполнить следующие инструкции:

https://forum.kasperskyclub.ru/index.php?showtopic=48525

поймал шифровальщика !

Рекомендуемые сообщения

feel_174

SQ

feel_174

SQ

feel_174

SQ

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum