Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте, скачали с почты файл, в итоге поймали шифровальщик "email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2956803335-209008984600484967970807.fname-~$ширеквизиты.doc.doubleoffset". Зашифрованы все файлы. Можно ли расшифровать их? Файлы все нужны в целостности.

Опубликовано

Спрашивайте что непонятно и тогда проблем не будет. Расширенная форма ответа, кнопка Выберите файл. В новое сообщение сюда добавляйте логи. Дубль темы я удалил. 

Опубликовано

Спрашивайте что непонятно и тогда проблем не будет. Расширенная форма ответа, кнопка Выберите файл. В новое сообщение сюда добавляйте логи. Дубль темы я удалил. 

CollectionLog-2018.08.08-16.20.zip

report1.log

report2.log

Опубликовано

Деинсталлируйте:

Guard.Mail.ru
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
Опубликовано

 

Деинсталлируйте:

Guard.Mail.ru
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

Addition.txt

FRST.txt

Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Временно выгрузите антивирус.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
R2 mrupdsrv; C:\Program Files\Mail.Ru\Update Service\mrupdsrv.exe [1314008 2017-08-11] (Mail.Ru) <==== ATTENTION
R2 Updater.Mail.Ru; C:\Program Files\Mail.Ru\MailRuUpdater\MailRuUpdater.exe [3620536 2018-07-31] (Mail.Ru) <==== ATTENTION
C:\Documents and Settings\mariya.zh\Local Settings\Temp\womancalendar.exe
C:\Documents and Settings\mariya.zh.IGMA\Local Settings\Temp\services.exe
Task: C:\WINDOWS\Tasks\MailRuUpdater.job => C:\Documents and Settings\Masha\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe <==== ATTENTION
zip:C:\FRST\Quarantine



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Опубликовано (изменено)

вот файл, архив отправил по форме

Fixlog.txt

Изменено пользователем vinnipuh0905
Опубликовано (изменено)

Все пароли, которые были сохранены в браузерах, RDP, ftp и т.д

 

-------------------------------------------------------------------------------------------------

 

Один из разработчиков утилиты HiJackThis просит Вас собрать лог этой https://dragokas.com/tools/HiJackThis_test.zip версией HiJackThis. Если не трудно, то соберите ей лог.

Изменено пользователем mike 1
Опубликовано

Все пароли, которые были сохранены в браузерах, RDP, ftp и т.д

 

-------------------------------------------------------------------------------------------------

 

Один из разработчиков утилиты HiJackThis просит Вас собрать лог этой https://dragokas.com/tools/HiJackThis_test.zip версией HiJackThis. Если не трудно, то соберите ей лог.

Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525 . Смените все пароли

а в запрос прикреплять один из зашифрованных файлов?

HiJackThis.log

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • S-e-r-s-h
      Автор S-e-r-s-h
      Добрый день. Хватанули троян, который зашифровал все документы таким образом: email-load180@aol.com.ver-CL 1.0.0.0.id-SBJKZCVMEGNQHJLOSVXZEGIMPSVXCEGJNQTU-02.09.2015 8@18@454361717.randomname-CNOCKUQNTOEVIVKQBSIWJZUKAQVPET.MGZ.cbf
      После заражения воспользовались восстановлением системы на предыдущий дату и проверили Kaspersky Virus Removal Tool 2015, а после, продленным Small Office Security. Вроде ничего не нашел.  Очень нужна ваша помощь. Как убедиться, что источника заразы больше нет и как расшифровать документы? CollectionLog-2015.09.07-11.35.zip
    • sidor
      Автор sidor
      Здравствуйте!
      Все как обычно, пришло письмо, якобы от налоговой, дальше открытие архива, без сохранения и проверки антивирусом.
      Результат-все файлы  MSO зашифрованы - названия начинаются с seven_legion@aol.com
      Что сделал:
      1. Прошелся по диску kav_rescue_10.
       по классификации каспера выявлено Win32.VBKryjetor.wes  в program files и в корневике системы.
      2. Удалил из автозагрузки окошко с предупреждением.
      3. Собрал логи.

         CollectionLog-2015.09.04-14.27
      Посмотрите, пожалуйста, может где еще дыры или зверье сидит?
       
      По поводу расшифровки: пробовал rectordecryptor и xoristdecryptor, не помогло.
      Может у кого есть дешифратор для моего случая? Плзз. А то девчонкам этим несчастным неделю на складе ревизию проводить....
       
      CollectionLog-2015.09.04-14.27.zip
    • Елена К
      Автор Елена К
      Получила письмо на почту, открыла прикрепленный файл, через пару часов на рабочем столе надпись "Твои файлы зашифрованы, отправь файл на почту Seven_legion2@aol.com ...."  Все файлы текстовые, все фото зашифрованы. Можно расшифровать фото?

      Прочитала предыдущее сообщение, сделала как там было написано, прикрепляю файлы. Очень надеюсь на помощь.
      CollectionLog-2015.09.05-22.02.zip
      Addition_05-09-2015_22-36-03.txt
      FRST_05-09-2015_22-36-03.txt
    • Klu4nik
      Автор Klu4nik
      Здравствуйте!
       
      Пользователь запустил файл из прикрепленного к письму с мэйл.ру архива wordpad.rar. Kaspersky WS не среагировал. Прошло шифрование, фото документы (много, важное), обои сменились на требование. После перезагрузки, KWS-ом автоматически был обнаружен троян: "Удалено троянская программа Trojan.Win32.Inject.vgcj C:\Program Files\explore.exe 27.08.2015 12:35:13".
       
      Спасибо за ваше время и желание помочь!
        CollectionLog-2015.08.27-13.23.zip
    • Арсен Омаров
      Автор Арсен Омаров
      Всем привет! Прошу Вашей помощи! Сегодня к моей сестре на почту пришло письмо по работе! Она открыла и запустила файл который..в общем во вложении прикрепляю фото рабочего стола на котором сообщение:
       Твои файлы зашифрованы, если хочешь все вернуть, отправь 1 зашифрованный файл на эту почту
      и т.д.
       
      так же высылаю логи..


      CollectionLog-2015.08.24-14.29.zip
×
×
  • Создать...