Перейти к содержанию

Вирус шифровальщик cryptlocker@tutanota.com

dion75
 Поделиться

Рекомендуемые сообщения

dion75

dion75

Опубликовано
Опубликовано

Добрый день помоги избавится от шифровальщика, работа стоит заранее спасибо. в каждой папке есть файл блокнота с сообщением. Пример зараженного прилагаю
Все файлы с расширениями: .doc .docx .xls .xlsx .xlst .ppt .pptx .rtf .pot .pages .indd .odt .ods .pdf .zip.rar .7z .jpg .png .mp4 .mov .avi .mpeg .flv .psd .psb были зашифрованы
Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы
Свяжитесь с нами cryptlocker@tutanota.com

 


Вот еще файл

зашифровано Κίνδυνοι για την ασφάλεια.doc

зашифровано Oktobrios.pdf

Ссылка на комментарий
Поделиться на другие сайты
dion75

dion75

Опубликовано
  • Автор
Опубликовано

Добрый день помогите избавится от шифровальщика, работа стоит заранее спасибо. в каждой папке есть файл блокнота с сообщением. Сканирование сделал, Пример зараженного и файл протоколов прилагаю
Все файлы с расширениями: .doc .docx .xls .xlsx .xlst .ppt .pptx .rtf .pot .pages .indd .odt .ods .pdf .zip.rar .7z .jpg .png .mp4 .mov .avi .mpeg .flv .psd .psb были зашифрованы
Мы гарантируем, что вы сможете безопасно и легко восстановить все свои файлы
Свяжитесь с нами cryptlocker@tutanota.com

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены

CollectionLog-2018.10.08-15.10.zip

зашифровано Oktobrios.pdf

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-10-08 16:51 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\0n6xc2hCplIi.decryptedKLR.exe
2016-10-25 15:31 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\0n6xc2hCplIi.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\0z60grAF2xmv.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\0z60grAF2xmv.exe
2018-10-08 16:51 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2IcGq6azn6y0.decryptedKLR.exe
2016-10-25 15:39 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2IcGq6azn6y0.exe
2018-10-08 16:51 - 2016-10-25 15:34 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2ihGkHROgkOH.decryptedKLR.exe
2016-10-25 15:34 - 2016-10-25 15:34 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2ihGkHROgkOH.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2MXarxLOOc8P.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\2MXarxLOOc8P.exe
2018-10-08 16:51 - 2016-10-25 15:41 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\3JsiyPOj0VQ0.decryptedKLR.exe
2016-10-25 15:41 - 2016-10-25 15:41 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\3JsiyPOj0VQ0.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4VR0xyvswEqI.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4VR0xyvswEqI.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4wtZ7ctbs4sm.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4wtZ7ctbs4sm.exe
2018-10-08 16:51 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4yIFeOHI8b1Q.decryptedKLR.exe
2016-10-25 15:28 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\4yIFeOHI8b1Q.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5C3qedBmj5CD.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5C3qedBmj5CD.exe
2018-10-08 16:51 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5dyCkWOuRRuU.decryptedKLR.exe
2016-10-25 15:36 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5dyCkWOuRRuU.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5gS4IKQizIA9.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5gS4IKQizIA9.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5IzhCEPPbl7k.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5IzhCEPPbl7k.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5TUU0B9S2hKF.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\5TUU0B9S2hKF.exe
2018-10-08 16:51 - 2017-11-16 20:10 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\6a246669c4722113966d0cbd29442eb9.decryptedKLR.dll
2015-11-04 16:13 - 2017-11-16 20:10 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\6a246669c4722113966d0cbd29442eb9.dll
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\7DoiHMIACDmP.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\7DoiHMIACDmP.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\7oAcEAZTGyHO.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\7oAcEAZTGyHO.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\8Fn4MHvtzmCb.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\8Fn4MHvtzmCb.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\8I1OZmrOb1yB.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\8I1OZmrOb1yB.exe
2018-10-08 16:51 - 2016-10-25 15:29 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\9hwQGSyrVMFo.decryptedKLR.exe
2016-10-25 15:29 - 2016-10-25 15:29 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\9hwQGSyrVMFo.exe
2018-10-08 16:51 - 2018-03-27 14:19 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\a8abdd1d1c0076ac4246edb685fefa20.decryptedKLR.dll
2017-11-23 15:23 - 2018-03-27 14:19 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\a8abdd1d1c0076ac4246edb685fefa20.dll
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ai43K5u45tkD.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ai43K5u45tkD.exe
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\B7DtYM2jMxVW.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\B7DtYM2jMxVW.exe
2017-11-23 15:23 - 2018-03-27 12:36 - 000000079 _____ () C:\Users\user\AppData\Local\Temp\b7f6120475fe6e94032858c979cff471.dll
2017-07-04 18:32 - 2017-07-04 18:32 - 002860372 _____ () C:\Users\user\AppData\Local\Temp\BingBarSetup-Partner.exe
2018-10-08 16:51 - 2016-10-25 15:29 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\BJ0MlIdZ4bDW.decryptedKLR.exe
2016-10-25 15:29 - 2016-10-25 15:29 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\BJ0MlIdZ4bDW.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\C89qqIEN1uBq.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\C89qqIEN1uBq.exe
2018-10-08 16:51 - 2016-10-25 15:43 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\cE7faqoU22hJ.decryptedKLR.exe
2016-10-25 15:43 - 2016-10-25 15:43 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\cE7faqoU22hJ.exe
2017-07-04 18:33 - 2017-11-16 19:04 - 000000088 _____ () C:\Users\user\AppData\Local\Temp\ea0fc43919832bda670a1779d33aadcc.dll
2015-03-30 16:27 - 2015-03-30 16:27 - 000012288 _____ () C:\Users\user\AppData\Local\Temp\eoMBplEiiDneMFMotstq.DLL
2018-10-08 16:51 - 2016-10-25 15:41 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\EsvdqPeKet2n.decryptedKLR.exe
2016-10-25 15:41 - 2016-10-25 15:41 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\EsvdqPeKet2n.exe
2018-10-08 16:51 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\eZo59g603i98.decryptedKLR.exe
2016-10-25 15:31 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\eZo59g603i98.exe
2015-11-04 16:13 - 2017-05-28 16:40 - 000000056 _____ () C:\Users\user\AppData\Local\Temp\f09ee43b9c6d5115bae65b7383900cf6.dll
2018-10-08 16:51 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\F5ZhUWYGdaFk.decryptedKLR.exe
2016-10-25 15:28 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\F5ZhUWYGdaFk.exe
2018-10-08 16:51 - 2016-10-25 15:43 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\feZR4MFHbBwU.decryptedKLR.exe
2016-10-25 15:43 - 2016-10-25 15:43 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\feZR4MFHbBwU.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Fn2aBZ2TrY4P.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Fn2aBZ2TrY4P.exe
2018-10-08 16:51 - 2016-07-22 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\gOnHkrLxEOX4.decryptedKLR.exe
2016-07-22 15:31 - 2016-07-22 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\gOnHkrLxEOX4.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\GUEqNLuc8R7g.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\GUEqNLuc8R7g.exe
2015-03-30 16:23 - 2015-03-30 16:23 - 000012288 _____ () C:\Users\user\AppData\Local\Temp\gUrUvQecIbMoaJtGtCSN.DLL
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\gY1nSspo3JoS.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\gY1nSspo3JoS.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\H8vUPdatTyLV.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\H8vUPdatTyLV.exe
2018-10-08 16:51 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\h8xEgO9zl9UN.decryptedKLR.exe
2016-10-25 15:42 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\h8xEgO9zl9UN.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\HvaVr01XV9C8.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\HvaVr01XV9C8.exe
2018-10-08 16:51 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\i3ekpbPRHeUB.decryptedKLR.exe
2016-10-25 15:36 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\i3ekpbPRHeUB.exe
2018-10-08 16:51 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\iEPh5dvVdMni.decryptedKLR.exe
2016-10-25 15:36 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\iEPh5dvVdMni.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\iGwQwN9BcuoZ.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\iGwQwN9BcuoZ.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\j0Fl3XJ3Q6IF.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\j0Fl3XJ3Q6IF.exe
2018-10-08 16:51 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\jevmXWZnsSpa.decryptedKLR.exe
2016-10-25 15:32 - 2016-10-25 15:32 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\jevmXWZnsSpa.exe
2018-10-08 16:51 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\JJ6zO3EaLmHL.decryptedKLR.exe
2016-10-25 15:42 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\JJ6zO3EaLmHL.exe
2018-10-08 16:51 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\JKZrOcfWTW62.decryptedKLR.exe
2016-10-25 15:40 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\JKZrOcfWTW62.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\jlYKK1U0nNaS.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\jlYKK1U0nNaS.exe
2018-10-08 16:51 - 2016-10-25 15:26 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\kjyQuHxM7lZl.decryptedKLR.exe
2016-10-25 15:26 - 2016-10-25 15:26 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\kjyQuHxM7lZl.exe
2018-10-08 16:51 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\m94EQv0EfKMk.decryptedKLR.exe
2016-10-25 15:28 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\m94EQv0EfKMk.exe
2018-10-08 16:51 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\n3DbcJrTnPPF.decryptedKLR.exe
2016-10-25 15:39 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\n3DbcJrTnPPF.exe
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\N3o34orHKQko.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\N3o34orHKQko.exe
2018-10-08 16:51 - 2016-10-25 15:34 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\N8OcjTskSdPI.decryptedKLR.exe
2016-10-25 15:34 - 2016-10-25 15:34 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\N8OcjTskSdPI.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ncCqblL0YAfS.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ncCqblL0YAfS.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\nNIEzhnJKlZJ.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\nNIEzhnJKlZJ.exe
2018-10-08 16:51 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Oe1QCvAguMVq.decryptedKLR.exe
2016-10-25 15:25 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Oe1QCvAguMVq.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\OeRQoqy9kZhe.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\OeRQoqy9kZhe.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\oSN1WrnDFa6Z.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\oSN1WrnDFa6Z.exe
2018-10-08 16:51 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\OWlqUk9Y8DAg.decryptedKLR.exe
2016-10-25 15:25 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\OWlqUk9Y8DAg.exe
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\p0hHN5KWCQIz.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\p0hHN5KWCQIz.exe
2018-10-08 16:51 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\POtNQmzcMibe.decryptedKLR.exe
2016-10-25 15:40 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\POtNQmzcMibe.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ps44ZfbcVca8.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ps44ZfbcVca8.exe
2015-03-30 16:25 - 2015-03-30 16:25 - 000012288 _____ () C:\Users\user\AppData\Local\Temp\PuORbNnVqEiDTIrvYwib.DLL
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\qQKq7s1pjEZh.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\qQKq7s1pjEZh.exe
2018-10-08 16:51 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QvbqNEA6KPaV.decryptedKLR.exe
2016-10-25 15:40 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QvbqNEA6KPaV.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\qYE1jgolXStQ.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\qYE1jgolXStQ.exe
2018-10-08 16:51 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QzmkG685livO.decryptedKLR.exe
2016-10-25 15:33 - 2016-10-25 15:33 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QzmkG685livO.exe
2018-10-08 16:51 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QzYSwJNNZejP.decryptedKLR.exe
2016-10-25 15:25 - 2016-10-25 15:25 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\QzYSwJNNZejP.exe
2018-10-08 16:51 - 2016-07-22 15:12 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\R4MR1ogJnuSo.decryptedKLR.exe
2016-07-22 15:10 - 2016-07-22 15:12 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\R4MR1ogJnuSo.exe
2018-10-08 16:51 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\r8weu25zSB33.decryptedKLR.exe
2016-10-25 15:35 - 2016-10-25 15:35 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\r8weu25zSB33.exe
2018-10-08 16:51 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\rEYMxwvpnAAa.decryptedKLR.exe
2016-10-25 15:37 - 2016-10-25 15:37 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\rEYMxwvpnAAa.exe
2018-10-08 16:51 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\rVZkGfu3eLuR.decryptedKLR.exe
2016-10-25 15:31 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\rVZkGfu3eLuR.exe
2018-10-08 16:51 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\spIlt6plpavx.decryptedKLR.exe
2016-10-25 15:31 - 2016-10-25 15:31 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\spIlt6plpavx.exe
2018-10-08 16:51 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\St2uO03UBzJd.decryptedKLR.exe
2016-10-25 15:40 - 2016-10-25 15:40 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\St2uO03UBzJd.exe
2018-10-08 16:51 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\SZTJu0fYtpoo.decryptedKLR.exe
2016-10-25 15:28 - 2016-10-25 15:28 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\SZTJu0fYtpoo.exe
2018-10-08 16:51 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Tzlv5Yy7bBc7.decryptedKLR.exe
2016-10-25 15:36 - 2016-10-25 15:36 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\Tzlv5Yy7bBc7.exe
2018-10-08 16:51 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ui1kiIszT6jK.decryptedKLR.exe
2016-10-25 15:30 - 2016-10-25 15:30 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ui1kiIszT6jK.exe
2018-10-08 16:51 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\VidvKiaGooSj.decryptedKLR.exe
2016-10-25 15:42 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\VidvKiaGooSj.exe
2018-10-08 16:51 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\WAd2sifnlmIg.decryptedKLR.exe
2016-10-25 15:42 - 2016-10-25 15:42 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\WAd2sifnlmIg.exe
2018-10-08 16:51 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\XDG4iAgSNh6o.decryptedKLR.exe
2016-10-25 15:38 - 2016-10-25 15:38 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\XDG4iAgSNh6o.exe
2018-10-08 16:51 - 2016-10-25 15:27 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\XZPXnOkhZFt0.decryptedKLR.exe
2016-10-25 15:27 - 2016-10-25 15:27 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\XZPXnOkhZFt0.exe
2018-10-08 16:51 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZiMbIGQtuv0d.decryptedKLR.exe
2016-10-25 15:39 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZiMbIGQtuv0d.exe
2018-10-08 16:51 - 2016-10-25 15:26 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZJkvSEU2K3Bn.decryptedKLR.exe
2016-10-25 15:26 - 2016-10-25 15:26 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZJkvSEU2K3Bn.exe
2018-10-08 16:51 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\zLu9bahjnHzw.decryptedKLR.exe
2016-10-25 15:39 - 2016-10-25 15:39 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\zLu9bahjnHzw.exe
2018-10-08 16:51 - 2016-10-25 15:27 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZQtAcT87nYV3.decryptedKLR.exe
2016-10-25 15:27 - 2016-10-25 15:27 - 000000000 _____ () C:\Users\user\AppData\Local\Temp\ZQtAcT87nYV3.exe
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [134]
MSCONFIG\startupreg: AceStream => C:\Users\user\AppData\Roaming\ACEStream\engine\ace_engine.exe
MSCONFIG\startupreg: AceUpdater => C:\Users\user\AppData\Roaming\ACEStream\updater\ace_update.exe
MSCONFIG\startupreg: AceWebExtensionUpdater => C:\Users\user\AppData\Roaming\AceWebExtension\updater\ace_web_extension.exe
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Что запускали перед появлением шифрования? Судя по времени появления шифрованных файлов, это было рабочее время.

Ссылка на комментарий
Поделиться на другие сайты
dion75

dion75

Опубликовано
  • Автор
Опубликовано (изменено)

@thyrex

Скачивали какой то файл с нета оказался .exe не поняли как запустили. После же все незнакомое принялись удалять, так что следов преступления не оставили

@thyrex

может быть тот что прикреплен но на 100% не уверен

выскакивает

Ошибка Вы не можете загружать файлы подобного типа

Изменено пользователем dion75
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Ну вот и нужен этот файл. Есть подозрение, что это новый вариант WannaCash, для которого ялетом писал расшифровку.

 

C:\Windows\system32\как расшифровать файлы.txt прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
dion75

dion75

Опубликовано
  • Автор
Опубликовано (изменено)

@thyrex

наверно отсюда скачанн

https://yadi.sk/d/IX5dI42qtj-36w

как расшифровать файлы.txt

Изменено пользователем dion75
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

может быть тот что прикреплен но на 100% не уверен выскакивает Ошибка Вы не можете загружать файлы подобного типа

Выложите на sendspace.com и пришлите ссылку мне в личные сообщения
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LexaSLX
      Вирус-шифровальщик, вымогатель
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Aleksandr Korolev
      Вирус шифровальщик ContiCrypt.MFP!MTB
      Автор Aleksandr Korolev
      Добрый день. Недавно взломали RDP одного из рабочих пк, и через него зашифровали данные NAS , попробовали выкупить, сбросили только exe и ключи, расшифровывает, но работает дешифровщик секунд 10, второй раз запустить нельзя , блокируется. Можно ли что то с ним сделать? Сам дешифровшик тоже как вирус , потому что много изменений в реестр вносит , прилагаю файл изменений которые он вносит , сам exe и ключи user id и второй ключvirus.rarНовый текстовый документ.txt#README-TO-DECRYPT-FILES.txt
    • AlexYarm
      Вирус-шифровальщик Hardbit4
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • kaje_14
      Доброго дня! Сегодня столкнулись с проблемой вирус-шифровальщика
      Автор kaje_14
      Есть старый маленький локальный сервер, на нём есть 3 диска, точно заразился 1 из них, который общедоступный. Не все папки и файлы заразились. Запустил Cureit, он ничего не нашёл (точнее кажется не видит). Но во многих папках имеются файл с название --attention.hta, а зашифрованные файлы имеют свои наименования плюс добавилось такое: например блокнот.txt_[UID=YMG-MBMFV TelegramID=@recoveryfiles1].ano. У всех файлов расширение .ano. Были небольшие попытки расшифровать некоторые файлы с помощью декрипторов не помогло.
      Вирус точно зашел с ПК в сети, на котором недавно настраивал RDP, сам этот комп учетные записи заблокировались. Придется форматировать.
      Прикрепляю логи FRST, пару скриншотов (с безопасного режима всё делал), архив с примерами зашифрованных файлов, архив с файлом attention.hta и каким то подозрительным файлом (может это был свой файл зашифрованный). 
      Никакого текста с вымоганием пока не нашёл.
      Если где неправильно что-то оформил извините. Случай сегодня обнаружился, судя по времени изменения файлов всё произошло ночью по местному времени.FRST.txt


      Addition.txt Shortcut.txt кажется вирус имеются во всех папках.rar примеры зашифрованных файлов.rar
×
×
  • Создать...