Вирус шифровальщик cryptlocker@tutanota.com

[dion75]

Добрый день помоги избавится от шифровальщика, работа стоит заранее спасибо. в каждой папке есть файл блокнота с сообщением. Пример зараженного прилагаю
Все файлы с расширениями: .doc .docx .xls .xlsx .xlst .ppt .pptx .rtf .pot .pages .indd .odt .ods .pdf .zip.rar .7z .jpg .png .mp4 .mov .avi .mpeg .flv .psd .psb были зашифрованы
Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы
Свяжитесь с нами cryptlocker@tutanota.com

 

Вот еще файл

зашифровано Κίνδυνοι για την ασφάλεια.doc

зашифровано Oktobrios.pdf

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[dion75]

Добрый день помогите избавится от шифровальщика, работа стоит заранее спасибо. в каждой папке есть файл блокнота с сообщением. Сканирование сделал, Пример зараженного и файл протоколов прилагаю
Все файлы с расширениями: .doc .docx .xls .xlsx .xlst .ppt .pptx .rtf .pot .pages .indd .odt .ods .pdf .zip.rar .7z .jpg .png .mp4 .mov .avi .mpeg .flv .psd .psb были зашифрованы
Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы
Свяжитесь с нами cryptlocker@tutanota.com

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2018.10.08-15.10.zip

зашифровано Oktobrios.pdf

[dion75]

так как обращаюсь в первый раз, когда можно рассчитывать на помощь консультантов ?

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[dion75]

Сделанно

@thyrex,

Сделанно 

Downloads.rar

Downloads.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-10-08 16:51 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\0n6xc2hCplIi.decryptedKLR.exe
2016-10-25 15:31 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\0n6xc2hCplIi.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\0z60grAF2xmv.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\0z60grAF2xmv.exe
2018-10-08 16:51 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2IcGq6azn6y0.decryptedKLR.exe
2016-10-25 15:39 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2IcGq6azn6y0.exe
2018-10-08 16:51 - 2016-10-25 15:34 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2ihGkHROgkOH.decryptedKLR.exe
2016-10-25 15:34 - 2016-10-25 15:34 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2ihGkHROgkOH.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2MXarxLOOc8P.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2MXarxLOOc8P.exe
2018-10-08 16:51 - 2016-10-25 15:41 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\3JsiyPOj0VQ0.decryptedKLR.exe
2016-10-25 15:41 - 2016-10-25 15:41 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\3JsiyPOj0VQ0.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4VR0xyvswEqI.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4VR0xyvswEqI.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4wtZ7ctbs4sm.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4wtZ7ctbs4sm.exe
2018-10-08 16:51 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4yIFeOHI8b1Q.decryptedKLR.exe
2016-10-25 15:28 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4yIFeOHI8b1Q.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5C3qedBmj5CD.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5C3qedBmj5CD.exe
2018-10-08 16:51 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5dyCkWOuRRuU.decryptedKLR.exe
2016-10-25 15:36 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5dyCkWOuRRuU.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5gS4IKQizIA9.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5gS4IKQizIA9.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5IzhCEPPbl7k.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5IzhCEPPbl7k.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5TUU0B9S2hKF.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5TUU0B9S2hKF.exe
2018-10-08 16:51 - 2017-11-16 20:10 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\6a246669c4722113966d0cbd29442eb9.decryptedKLR.dll
2015-11-04 16:13 - 2017-11-16 20:10 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\6a246669c4722113966d0cbd29442eb9.dll
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\7DoiHMIACDmP.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\7DoiHMIACDmP.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\7oAcEAZTGyHO.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\7oAcEAZTGyHO.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\8Fn4MHvtzmCb.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\8Fn4MHvtzmCb.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\8I1OZmrOb1yB.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\8I1OZmrOb1yB.exe
2018-10-08 16:51 - 2016-10-25 15:29 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\9hwQGSyrVMFo.decryptedKLR.exe
2016-10-25 15:29 - 2016-10-25 15:29 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\9hwQGSyrVMFo.exe
2018-10-08 16:51 - 2018-03-27 14:19 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\a8abdd1d1c0076ac4246edb685fefa20.decryptedKLR.dll
2017-11-23 15:23 - 2018-03-27 14:19 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\a8abdd1d1c0076ac4246edb685fefa20.dll
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ai43K5u45tkD.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ai43K5u45tkD.exe
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\B7DtYM2jMxVW.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\B7DtYM2jMxVW.exe
2017-11-23 15:23 - 2018-03-27 12:36 - 000000079 _____ () C:\Users\user\AppData\Local\Temp\b7f6120475fe6e94032858c979cff471.dll
2017-07-04 18:32 - 2017-07-04 18:32 - 002860372 _____ () C:\Users\user\AppData\Local\Temp\BingBarSetup-Partner.exe
2018-10-08 16:51 - 2016-10-25 15:29 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\BJ0MlIdZ4bDW.decryptedKLR.exe
2016-10-25 15:29 - 2016-10-25 15:29 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\BJ0MlIdZ4bDW.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\C89qqIEN1uBq.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\C89qqIEN1uBq.exe
2018-10-08 16:51 - 2016-10-25 15:43 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\cE7faqoU22hJ.decryptedKLR.exe
2016-10-25 15:43 - 2016-10-25 15:43 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\cE7faqoU22hJ.exe
2017-07-04 18:33 - 2017-11-16 19:04 - 000000088 _____ () C:\Users\user\AppData\Local\Temp\ea0fc43919832bda670a1779d33aadcc.dll
2015-03-30 16:27 - 2015-03-30 16:27 - 000012288 _____ () C:\Users\user\AppData\Local\Temp\eoMBplEiiDneMFMotstq.DLL
2018-10-08 16:51 - 2016-10-25 15:41 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\EsvdqPeKet2n.decryptedKLR.exe
2016-10-25 15:41 - 2016-10-25 15:41 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\EsvdqPeKet2n.exe
2018-10-08 16:51 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\eZo59g603i98.decryptedKLR.exe
2016-10-25 15:31 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\eZo59g603i98.exe
2015-11-04 16:13 - 2017-05-28 16:40 - 000000056 _____ () C:\Users\user\AppData\Local\Temp\f09ee43b9c6d5115bae65b7383900cf6.dll
2018-10-08 16:51 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\F5ZhUWYGdaFk.decryptedKLR.exe
2016-10-25 15:28 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\F5ZhUWYGdaFk.exe
2018-10-08 16:51 - 2016-10-25 15:43 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\feZR4MFHbBwU.decryptedKLR.exe
2016-10-25 15:43 - 2016-10-25 15:43 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\feZR4MFHbBwU.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Fn2aBZ2TrY4P.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Fn2aBZ2TrY4P.exe
2018-10-08 16:51 - 2016-07-22 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\gOnHkrLxEOX4.decryptedKLR.exe
2016-07-22 15:31 - 2016-07-22 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\gOnHkrLxEOX4.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\GUEqNLuc8R7g.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\GUEqNLuc8R7g.exe
2015-03-30 16:23 - 2015-03-30 16:23 - 000012288 _____ () C:\Users\user\AppData\Local\Temp\gUrUvQecIbMoaJtGtCSN.DLL
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\gY1nSspo3JoS.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\gY1nSspo3JoS.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\H8vUPdatTyLV.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\H8vUPdatTyLV.exe
2018-10-08 16:51 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\h8xEgO9zl9UN.decryptedKLR.exe
2016-10-25 15:42 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\h8xEgO9zl9UN.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\HvaVr01XV9C8.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\HvaVr01XV9C8.exe
2018-10-08 16:51 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\i3ekpbPRHeUB.decryptedKLR.exe
2016-10-25 15:36 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\i3ekpbPRHeUB.exe
2018-10-08 16:51 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\iEPh5dvVdMni.decryptedKLR.exe
2016-10-25 15:36 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\iEPh5dvVdMni.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\iGwQwN9BcuoZ.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\iGwQwN9BcuoZ.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\j0Fl3XJ3Q6IF.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\j0Fl3XJ3Q6IF.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\jevmXWZnsSpa.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\jevmXWZnsSpa.exe
2018-10-08 16:51 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\JJ6zO3EaLmHL.decryptedKLR.exe
2016-10-25 15:42 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\JJ6zO3EaLmHL.exe
2018-10-08 16:51 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\JKZrOcfWTW62.decryptedKLR.exe
2016-10-25 15:40 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\JKZrOcfWTW62.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\jlYKK1U0nNaS.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\jlYKK1U0nNaS.exe
2018-10-08 16:51 - 2016-10-25 15:26 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\kjyQuHxM7lZl.decryptedKLR.exe
2016-10-25 15:26 - 2016-10-25 15:26 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\kjyQuHxM7lZl.exe
2018-10-08 16:51 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\m94EQv0EfKMk.decryptedKLR.exe
2016-10-25 15:28 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\m94EQv0EfKMk.exe
2018-10-08 16:51 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\n3DbcJrTnPPF.decryptedKLR.exe
2016-10-25 15:39 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\n3DbcJrTnPPF.exe
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\N3o34orHKQko.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\N3o34orHKQko.exe
2018-10-08 16:51 - 2016-10-25 15:34 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\N8OcjTskSdPI.decryptedKLR.exe
2016-10-25 15:34 - 2016-10-25 15:34 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\N8OcjTskSdPI.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ncCqblL0YAfS.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ncCqblL0YAfS.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\nNIEzhnJKlZJ.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\nNIEzhnJKlZJ.exe
2018-10-08 16:51 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Oe1QCvAguMVq.decryptedKLR.exe
2016-10-25 15:25 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Oe1QCvAguMVq.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\OeRQoqy9kZhe.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\OeRQoqy9kZhe.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\oSN1WrnDFa6Z.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\oSN1WrnDFa6Z.exe
2018-10-08 16:51 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\OWlqUk9Y8DAg.decryptedKLR.exe
2016-10-25 15:25 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\OWlqUk9Y8DAg.exe
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\p0hHN5KWCQIz.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\p0hHN5KWCQIz.exe
2018-10-08 16:51 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\POtNQmzcMibe.decryptedKLR.exe
2016-10-25 15:40 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\POtNQmzcMibe.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ps44ZfbcVca8.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ps44ZfbcVca8.exe
2015-03-30 16:25 - 2015-03-30 16:25 - 000012288 _____ () C:\Users\user\AppData\Local\Temp\PuORbNnVqEiDTIrvYwib.DLL
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\qQKq7s1pjEZh.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\qQKq7s1pjEZh.exe
2018-10-08 16:51 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QvbqNEA6KPaV.decryptedKLR.exe
2016-10-25 15:40 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QvbqNEA6KPaV.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\qYE1jgolXStQ.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\qYE1jgolXStQ.exe
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QzmkG685livO.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QzmkG685livO.exe
2018-10-08 16:51 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QzYSwJNNZejP.decryptedKLR.exe
2016-10-25 15:25 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QzYSwJNNZejP.exe
2018-10-08 16:51 - 2016-07-22 15:12 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\R4MR1ogJnuSo.decryptedKLR.exe
2016-07-22 15:10 - 2016-07-22 15:12 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\R4MR1ogJnuSo.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\r8weu25zSB33.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\r8weu25zSB33.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\rEYMxwvpnAAa.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\rEYMxwvpnAAa.exe
2018-10-08 16:51 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\rVZkGfu3eLuR.decryptedKLR.exe
2016-10-25 15:31 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\rVZkGfu3eLuR.exe
2018-10-08 16:51 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\spIlt6plpavx.decryptedKLR.exe
2016-10-25 15:31 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\spIlt6plpavx.exe
2018-10-08 16:51 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\St2uO03UBzJd.decryptedKLR.exe
2016-10-25 15:40 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\St2uO03UBzJd.exe
2018-10-08 16:51 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\SZTJu0fYtpoo.decryptedKLR.exe
2016-10-25 15:28 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\SZTJu0fYtpoo.exe
2018-10-08 16:51 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Tzlv5Yy7bBc7.decryptedKLR.exe
2016-10-25 15:36 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Tzlv5Yy7bBc7.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ui1kiIszT6jK.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ui1kiIszT6jK.exe
2018-10-08 16:51 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\VidvKiaGooSj.decryptedKLR.exe
2016-10-25 15:42 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\VidvKiaGooSj.exe
2018-10-08 16:51 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\WAd2sifnlmIg.decryptedKLR.exe
2016-10-25 15:42 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\WAd2sifnlmIg.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\XDG4iAgSNh6o.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\XDG4iAgSNh6o.exe
2018-10-08 16:51 - 2016-10-25 15:27 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\XZPXnOkhZFt0.decryptedKLR.exe
2016-10-25 15:27 - 2016-10-25 15:27 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\XZPXnOkhZFt0.exe
2018-10-08 16:51 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZiMbIGQtuv0d.decryptedKLR.exe
2016-10-25 15:39 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZiMbIGQtuv0d.exe
2018-10-08 16:51 - 2016-10-25 15:26 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZJkvSEU2K3Bn.decryptedKLR.exe
2016-10-25 15:26 - 2016-10-25 15:26 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZJkvSEU2K3Bn.exe
2018-10-08 16:51 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\zLu9bahjnHzw.decryptedKLR.exe
2016-10-25 15:39 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\zLu9bahjnHzw.exe
2018-10-08 16:51 - 2016-10-25 15:27 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZQtAcT87nYV3.decryptedKLR.exe
2016-10-25 15:27 - 2016-10-25 15:27 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZQtAcT87nYV3.exe
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [134]
MSCONFIG\startupreg: AceStream => C:\Users\user\AppData\Roaming\ACEStream\engine\ace_engine.exe
MSCONFIG\startupreg: AceUpdater => C:\Users\user\AppData\Roaming\ACEStream\updater\ace_update.exe
MSCONFIG\startupreg: AceWebExtensionUpdater => C:\Users\user\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[dion75]

@thyrex,

Сделанно 

Fixlog.txt

[thyrex]

Что запускали перед появлением шифрования? Судя по времени появления шифрованных файлов, это было рабочее время.

[dion75]

@thyrex, 

Скачивали какой то файл с нета оказался .exe не поняли как запустили. После же все незнакомое принялись удалять, так что следов преступления не оставили

@thyrex, 

может быть тот что прикреплен но на 100% не уверен

выскакивает

Ошибка Вы не можете загружать файлы подобного типа

Изменено 8 октября, 2018 пользователем dion75

[thyrex]

Ну вот и нужен этот файл. Есть подозрение, что это новый вариант WannaCash, для которого ялетом писал расшифровку.

 

C:\Windows\system32\как расшифровать файлы.txt прикрепите к следующему сообщению.

[dion75]

@thyrex, 

наверно отсюда скачанн

https://yadi.sk/d/IX5dI42qtj-36w

как расшифровать файлы.txt

Изменено 8 октября, 2018 пользователем dion75

[thyrex]

может быть тот что прикреплен но на 100% не уверен выскакивает Ошибка Вы не можете загружать файлы подобного типа

Выложите на sendspace.com и пришлите ссылку мне в личные сообщения

[dion75]

sendspace.com

удалено

[thyrex]

Попробуйте поискать на пострадавшем компьютере файл Project37.exe