Перейти к содержанию

hola@all-ransomware.info.ver-CL 1.5.1.0 Шифровальщик

Олег Гиринский

Автор Олег Гиринский
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Олег Гиринский

Олег Гиринский

Опубликовано
Опубликовано

Добрый день, все банально бухгалтер открыл ссылку в почте, когда меня позвали все уже было зашифровано, бухгалтер слезно просит помочь.... 

Все файлы теперь выглядят так email-hola@all-ransomware.info.ver-CL 1.5.1.0.id-2432060786-144548372073082527006812

CollectionLog-2018.09.04-11.53.zip

FRST.txt

шифрованный файл.rar

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Для очистки следов и мусора:

 

"Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [2432060786] = C:\Users\ЭКОНОМИСТ\AppData\Local\Temp\KKLMNNOPQR.exe  (file missing)
O4 - MSConfig\startupreg: 2377655 [command] = 2377655 (HKLM) (2018/09/04) (file missing)
O4 - MSConfig\startupreg: 3869733 [command] = 3869733 (HKLM) (2018/09/04) (file missing)
O4 - MSConfig\startupreg: Bron-Spizaetus [command] = C:\Windows\ShellNew\bronstab.exe (HKLM) (2015/02/02) (file missing)
O4 - MSConfig\startupreg: Browser Manager [command] = C:\Users\ЭКОНОМИСТ\AppData\Local\Yandex\BrowserManager\BrowserManager.exe (HKCU) (2015/10/13) (file missing)
O4 - MSConfig\startupreg: Tok-Cirrhatus [command] = C:\Users\Администратор.SRB\AppData\Local\smss.exe (HKCU) (2015/02/02) (file missing)
Прикрепите дополнительный отчет FRST под именем Addition.txt
Олег Гиринский

Олег Гиринский

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

К сожалению, расшифровки этого типа вымогателя нет.

 

Для очистки следов и мусора:

 

"Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\Run: [2432060786] = C:\Users\ЭКОНОМИСТ\AppData\Local\Temp\KKLMNNOPQR.exe  (file missing)
O4 - MSConfig\startupreg: 2377655 [command] = 2377655 (HKLM) (2018/09/04) (file missing)
O4 - MSConfig\startupreg: 3869733 [command] = 3869733 (HKLM) (2018/09/04) (file missing)
O4 - MSConfig\startupreg: Bron-Spizaetus [command] = C:\Windows\ShellNew\bronstab.exe (HKLM) (2015/02/02) (file missing)
O4 - MSConfig\startupreg: Browser Manager [command] = C:\Users\ЭКОНОМИСТ\AppData\Local\Yandex\BrowserManager\BrowserManager.exe (HKCU) (2015/10/13) (file missing)
O4 - MSConfig\startupreg: Tok-Cirrhatus [command] = C:\Users\Администратор.SRB\AppData\Local\smss.exe (HKCU) (2015/02/02) (file missing)
Прикрепите дополнительный отчет FRST под именем Addition.txt

 

Еперный театр...((

Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, не цитируйте полностью все предыдущее сообщение. Используйте форму быстрого ответа.

 

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <==== ATTENTION

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <==== ATTENTION

HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION

Эти политики настраивали самостоятельно?
Олег Гиринский

Олег Гиринский

Опубликовано
  • Автор
Опубликовано

Нет

 

Эти политики настраивали самостоятельно?

 

Sandor

Sandor

Опубликовано
Опубликовано

Два антивируса - много. Один оставьте, один удалите:

AV: ESET Smart Security 5.0

AV: 360 Total Security

Затем пройдитесь соотв. утилитой - Чистка системы после некорректного удаления антивируса.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AVG Security Toolbar

Browser Tab Search by Ask for Internet Explorer

Далее:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION
HKU\S-1-5-21-4219876127-2514723512-3341500011-1156\...\Run: [2432060786] => C:\Users\F781~1\AppData\Local\Temp\KKLMNNOPQR.exe <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4219876127-2514723512-3341500011-1156 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF SearchPlugin: C:\Users\ЭКОНОМИСТ\AppData\Roaming\Mozilla\Firefox\Profiles\04k30q7o.default\searchplugins\README.txt [2018-09-04]
S3 4F952FBC54BCAFF6; \??\C:\Windows\TEMP\2AA1F00.sys [X]
S3 4F95495156360AF6; \??\C:\Windows\TEMP\1DA4487.sys [X]
S3 4F958DCAECF73D76; \??\C:\Windows\TEMP\27DE44E.sys [X]
S3 4F959958C4805676; \??\C:\Windows\TEMP\264580C.sys [X]
S3 4F95EFDEF85996F6; \??\C:\Windows\TEMP\208B777.sys [X]
S3 4F963724F4726EF6; \??\C:\Windows\TEMP\1F8304C.sys [X]
S3 4F979C53B63BAEF6; \??\C:\Windows\TEMP\1F9BBB7.sys [X]
S3 4F979C541F0BC576; \??\C:\Windows\TEMP\1F1A6B8.sys [X]
S3 4F979D100F2C2D76; \??\C:\Windows\TEMP\3BE1545.sys [X]
S3 4F979D1054EA14F6; \??\C:\Windows\TEMP\3780436.sys [X]
S3 4F979D1F940A9AF6; \??\C:\Windows\TEMP\201BA01.sys [X]
S3 4F979D1FB8163876; \??\C:\Windows\TEMP\226ADE3.sys [X]
S3 4F979D1FC6E26C76; \??\C:\Windows\TEMP\20A15AC.sys [X]
S3 4F979EC1A944BF76; \??\C:\Windows\TEMP\26ED3B9.sys [X]
S3 4F979EC2FFEC9D76; \??\C:\Windows\TEMP\268CB5F.sys [X]
2018-09-04 09:49 - 2018-09-04 09:49 - 000000127 _____ C:\Users\README.txt
2018-09-04 09:49 - 2018-09-04 09:49 - 000000127 _____ C:\README.txt
2018-09-04 09:48 - 2018-09-04 09:48 - 000000127 _____ C:\Users\ЭКОНОМИСТ\AppData\README.txt
2018-09-04 09:46 - 2018-09-04 09:46 - 000000127 _____ C:\Users\ЭКОНОМИСТ\AppData\Local\README.txt
2018-09-04 09:42 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\README.txt
2018-09-04 09:42 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\LocalLow\README.txt
2018-09-04 09:41 - 2018-09-04 09:41 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\Local\README.txt
2018-09-04 09:15 - 2018-09-04 09:49 - 000000127 _____ C:\Users\ЭКОНОМИСТ\README.txt
2018-09-04 09:15 - 2018-09-04 09:49 - 000000127 _____ C:\Users\ЭКОНОМИСТ\Downloads\README.txt
2018-09-04 09:15 - 2018-09-04 09:49 - 000000127 _____ C:\Users\ЭКОНОМИСТ\Documents\README.txt
2018-09-04 09:15 - 2018-09-04 09:49 - 000000127 _____ C:\Users\ЭКОНОМИСТ\Desktop\README.txt
2018-09-04 09:13 - 2018-09-04 09:48 - 000000127 _____ C:\Users\ЭКОНОМИСТ\AppData\Roaming\README.txt
2018-09-04 09:11 - 2018-09-04 09:47 - 000000127 _____ C:\Users\ЭКОНОМИСТ\AppData\LocalLow\README.txt
2018-09-04 09:05 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\README.txt
2018-09-04 09:05 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\Downloads\README.txt
2018-09-04 09:05 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\Documents\README.txt
2018-09-04 09:05 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\Desktop\README.txt
2018-09-04 09:05 - 2018-09-04 09:05 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 09:04 - 2018-09-04 09:42 - 000000127 _____ C:\Users\Оргкабинет.SRB\AppData\Roaming\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\Downloads\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\Documents\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\Desktop\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\AppData\Roaming\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\AppData\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\AppData\LocalLow\README.txt
2018-09-04 08:51 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Оргкабинет\AppData\Local\README.txt
2018-09-04 08:51 - 2018-09-04 08:51 - 000000127 _____ C:\Users\Оргкабинет\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\Documents\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\Desktop\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\AppData\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор\AppData\Local\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\Documents\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\Desktop\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\AppData\Roaming\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\AppData\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\AppData\LocalLow\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Администратор.SRB\AppData\Local\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Public\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Public\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\Documents\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\Desktop\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\AppData\Roaming\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\AppData\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default\AppData\Local\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\Downloads\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\Documents\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\Desktop\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\AppData\Roaming\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\AppData\README.txt
2018-09-04 08:50 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Default User\AppData\Local\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\Users\Администратор.SRB\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:50 - 2018-09-04 08:50 - 000000127 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
2018-09-04 08:49 - 2018-09-04 10:52 - 000000127 _____ C:\Program Files\README.txt
2018-09-04 08:49 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Public\Documents\README.txt
2018-09-04 08:49 - 2018-09-04 09:36 - 000000127 _____ C:\Users\Public\Desktop\README.txt
2018-09-04 08:49 - 2018-09-04 08:51 - 000001359 _____ C:\Users\Все пользователи\README.txt
2018-09-04 08:49 - 2018-09-04 08:51 - 000001359 _____ C:\ProgramData\README.txt
2018-09-04 08:47 - 2018-09-04 10:51 - 000000127 _____ C:\Program Files\Common Files\README.txt
2018-09-04 09:43 - 2015-02-25 07:57 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-25
2018-09-04 09:43 - 2015-02-24 08:17 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-24
2018-09-04 09:43 - 2015-02-20 08:14 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-20
2018-09-04 09:43 - 2015-02-19 07:44 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-19
2018-09-04 09:43 - 2015-02-18 07:55 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-18
2018-09-04 09:43 - 2015-02-17 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-17
2018-09-04 09:43 - 2015-02-16 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-16
2018-09-04 09:43 - 2015-02-13 09:26 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-13
2018-09-04 09:43 - 2015-02-12 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-12
2018-09-04 09:43 - 2015-02-11 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-11
2018-09-04 09:43 - 2015-02-10 08:07 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-10
2018-09-04 09:43 - 2015-02-09 08:04 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-9
2018-09-04 09:43 - 2015-02-07 08:01 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-7
2018-09-04 09:43 - 2015-02-06 08:16 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-6
2018-09-04 09:43 - 2015-02-05 08:21 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-5
2018-09-04 09:43 - 2015-02-04 08:10 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-4
2018-09-04 09:43 - 2015-02-03 08:19 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-3
2018-09-04 09:43 - 2015-02-02 08:05 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-2
2018-09-04 09:43 - 2015-01-30 08:02 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-30
2018-09-04 09:43 - 2015-01-29 08:15 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-29
2018-09-04 09:43 - 2015-01-28 08:08 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-28
2018-09-04 09:43 - 2015-01-27 08:30 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-27
2018-09-04 09:43 - 2015-01-26 08:19 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-26
2018-09-04 09:43 - 2014-12-23 12:02 - 000000000 ____D C:\Users\ЭКОНОМИСТ\AppData\Local\Bron.tok-8-23
MSCONFIG\startupreg: 2377655 => 2377655
MSCONFIG\startupreg: 3869733 => 3869733
MSCONFIG\startupreg: Bron-Spizaetus => "C:\Windows\ShellNew\bronstab.exe"
MSCONFIG\startupreg: Tok-Cirrhatus => "C:\Users\Администратор.SRB\AppData\Local\smss.exe"
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
    • mr_ujin
      шифровальщик
      Автор mr_ujin
      ..здравствуйте..помещены в архив с паролем файлы архивов..и файлы с рабочего стола...просят написать на почты для получения  пароля от архива..Addition.txtFRST.txt
      ...архивные файлы слишком большие от 10ГБ..
      ..в архиве только файл с требованиями..pass winrar — копия.rar
      Addition.txt FRST.txt
    • Lord2454
      Шифровальщик enkacrypt
      Автор Lord2454
      Добрый день.
      Прошу помочь.
       
      Файлы FRST:
      Addition.txtFRST.txt  
       
      Архив с зашифрованными файлами (пароль virus). Сообщение от вымогателей там же.
      Decrypt_enkacrypt.rar
    • ИТ45
      Trojan.Encoder.35209
      Автор ИТ45
      Добрый день! Просим помощи у кого есть дешифратор
    • Shade_art
      Поймали шифровальщик. platishilidrochish@fear.pw
      Автор Shade_art
      Добрый день. 
      Поймали вирус шифровальщик. Тут есть умельцы помочь с этой проблемой?
×
×
  • Создать...