Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. Больше года назад, в мае попал под атаку вируса WannaCry. Вирус поел все мои файлы и папки на рабочем столе. После этого я пропатчил операционку(лицензионная вин7 про х64), расшифровку с заражёнными файлами решил отложить на потом.

 

Собственно, прошу помощи с расшифровкой. Вирус атаковал рабочий стол и на нём же остановил свою деятельность. С тех пор никаким атакам комп более не подвергался, винда и антивирь регулярно обновляются. 

 

CollectionLog-2018.11.10-22.01.zip

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('dwbqxthj');
 DeleteService('rjiuonsr');
 DeleteService('tofnzkda');
 DeleteService('bacshciy');
 DeleteService('jtrumybywhowrt816');
 DeleteService('clr_optimization_v1.03');
 QuarantineFile('C:\Users\dimaflash\AppData\Roaming\System\svchost.exe','');
 QuarantineFile('c:\program files (x86)\ghostwin\ghostwin.exe','');
 TerminateProcessByName('c:\program files (x86)\aflics\afterflics.exe');
 QuarantineFile('c:\program files (x86)\aflics\afterflics.exe','');
 DeleteFile('c:\program files (x86)\aflics\afterflics.exe','32');
 DeleteFile('C:\Users\dimaflash\AppData\Roaming\System\svchost.exe','64');
 DeleteFile('C:\ProgramData\jtrumybywhowrt816\tasksche.exe','64');
 DeleteFile('C:\Windows\system32\drivers\bacshciy.sys','64');
 DeleteFile('C:\Windows\system32\drivers\dwbqxthj.sys','64');
 DeleteFile('C:\Windows\system32\drivers\rjiuonsr.sys','64');
 DeleteFile('C:\Windows\system32\drivers\tofnzkda.sys','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
Сделайте новые логи Автологгером. 
 
Ссылка на комментарий
Поделиться на другие сайты

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"
 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
Сделайте новые логи Автологгером. 

 

 

Здравствуйте! Почему-то Яндекс никак не хочет отправлять сообщение на адрес mike1@avp.su.

 

Прикладываю архив сюда.

 

https://virusinfo.info/virusdetector/report.php?md5=A8D418B3E17896E574FB39FCDD8971FB - ссылка на результаты проверки карантина.

post-51703-0-73531400-1541938221_thumb.jpg

CollectionLog-2018.11.11-15.51.zip

Изменено пользователем mike 1
Карантин в теме
Ссылка на комментарий
Поделиться на другие сайты

 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 DeleteFile('C:\Users\dimaflash\AppData\Roaming\XRay Engine\Windows Defender\MSASCui.exe','64');
 DeleteSchedulerTask('Windows Defender User Interface');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера.
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Запустите ClearLnk и скопируйте в окно программы следующий текст:
 
C:\Users\dimaflash\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\dimaflash\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk
 
  • Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте такой лог https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/

Ссылка на комментарий
Поделиться на другие сайты

 

  • Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте такой лог https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/

 

ClearLNK-2018.11.12_00.24.12.log

MalwareLog.txt

Ссылка на комментарий
Поделиться на другие сайты

Удалите в MBAM все, кроме:

Файлы:
Generic.Malware/Suspicious, C:\USERS\DIMAFLASH\APPDATA\ROAMING\THINSTALL\Сократ Персональный 4.1\4000008800002I\SPV.EXE, Проигнорировано пользователем, [0], [392686],1.0.7797
PUP.Optional.InstallCore, C:\USERS\DIMAFLASH\APPDATA\ROAMING\Microsoft\Windows\SendTo\Picosmos Shows.lnk, Проигнорировано пользователем, [406], [542255],1.0.7797
PUP.Optional.InstallCore, C:\PROGRAM FILES (X86)\PICOSMOSTOOLS\PICOSMOSSHOWS.EXE, Проигнорировано пользователем, [406], [542255],1.0.7797

Сделайте новый лог MBAM после удаления.

Ссылка на комментарий
Поделиться на другие сайты

Удалите в MBAM все, кроме:

Файлы:
Generic.Malware/Suspicious, C:\USERS\DIMAFLASH\APPDATA\ROAMING\THINSTALL\Сократ Персональный 4.1\4000008800002I\SPV.EXE, Проигнорировано пользователем, [0], [392686],1.0.7797
PUP.Optional.InstallCore, C:\USERS\DIMAFLASH\APPDATA\ROAMING\Microsoft\Windows\SendTo\Picosmos Shows.lnk, Проигнорировано пользователем, [406], [542255],1.0.7797
PUP.Optional.InstallCore, C:\PROGRAM FILES (X86)\PICOSMOSTOOLS\PICOSMOSSHOWS.EXE, Проигнорировано пользователем, [406], [542255],1.0.7797

Сделайте новый лог MBAM после удаления.

MalwareLog2.txt

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2124774411-3236558020-4183319695-1000\...\Policies\Explorer: [] 
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
2018-11-09 02:37 - 2018-11-09 02:37 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignfe5ea85c4d1a3d80
2018-11-09 02:37 - 2018-11-09 02:37 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignb293e8f47a419413
2018-11-09 02:37 - 2018-11-09 02:37 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8c0e38bf439a9c18
2018-11-09 02:37 - 2018-11-09 02:37 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0ca92388a6d23f31
2018-11-08 15:46 - 2018-11-08 15:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc326bb1461a8bbdc
2018-11-08 15:42 - 2018-11-08 15:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignb4dd9dd43726acae
2018-11-08 15:42 - 2018-11-08 15:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8142d21d8b86f30e
2018-11-08 15:42 - 2018-11-08 15:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0a1ab3a8966562e2
2018-11-08 12:40 - 2018-11-08 12:40 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign59625f6716250727
2018-11-08 12:07 - 2018-11-08 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigncb88ccf9e3c61c71
2018-11-08 12:07 - 2018-11-08 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignae7ff5614c4d0795
2018-11-08 12:07 - 2018-11-08 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign21fdf8cea9a4af71
2018-11-08 02:33 - 2018-11-08 02:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignbd395fd2f3dbb917
2018-11-08 02:33 - 2018-11-08 02:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign75a17aa2084f375e
2018-11-07 12:20 - 2018-11-07 12:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf64afa708e43ba91
2018-11-07 12:20 - 2018-11-07 12:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignaea3c69746f896f1
2018-11-07 12:20 - 2018-11-07 12:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9556f431fd38890a
2018-11-07 12:20 - 2018-11-07 12:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign47f1754b4830c936
2018-11-07 11:38 - 2018-11-07 11:38 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign5e65d3e96463ab66
2018-11-07 10:03 - 2018-11-07 10:03 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignfcb0c3bcca7963c2
2018-11-07 10:03 - 2018-11-07 10:03 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignee04ea8eebd5a4b9
2018-11-07 10:03 - 2018-11-07 10:03 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignde9d18a33672dd54
2018-11-06 19:38 - 2018-11-06 19:38 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3ba1c38e950eede0
2018-11-06 19:20 - 2018-11-06 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigne30793c5dcd9f7e8
2018-11-06 19:20 - 2018-11-06 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignd784a88539d0c381
2018-11-06 19:20 - 2018-11-06 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign26bc71c5d0c4feea
2018-11-05 17:13 - 2018-11-05 17:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9806415b7429c3bf
2018-11-05 17:09 - 2018-11-05 17:09 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign5f4efcf41066ec84
2018-11-05 17:07 - 2018-11-05 17:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign677a6639c3252e34
2018-11-05 17:07 - 2018-11-05 17:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign6244582b5d813fdb
2018-11-04 21:51 - 2018-11-04 21:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc39f7710f73914c0
2018-11-04 21:51 - 2018-11-04 21:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignbc4e19a1cdb0c2fa
2018-11-04 21:51 - 2018-11-04 21:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignb87cc80c4f7f6902
2018-11-04 21:51 - 2018-11-04 21:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign308b70259129045e
2018-10-27 21:42 - 2018-10-27 21:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignd9fab2803a76377e
2018-10-27 21:42 - 2018-10-27 21:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigncef0f84ee3438df7
2018-10-27 21:41 - 2018-10-27 21:41 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8b354fc76ad9bf87
2018-10-27 21:41 - 2018-10-27 21:41 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4b6cc95b8b8502b3
2018-10-21 14:47 - 2018-10-21 14:47 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign962bbdda686ddd87
2018-10-21 14:47 - 2018-10-21 14:47 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign46e0e28a378ea15d
2018-10-13 03:58 - 2018-10-13 03:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign173ddf80eaeb5f4e
2018-10-13 03:57 - 2018-10-13 03:57 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigne23e944bbc2ce4f4
2018-10-13 03:57 - 2018-10-13 03:57 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign7b6de1020bb89e53
2018-10-04 02:22 - 2018-10-04 02:22 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf9ea7a657bc44e0f
2018-10-04 02:22 - 2018-10-04 02:22 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignd523f43b4dda17d9
2018-10-04 02:22 - 2018-10-04 02:22 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc91dfe14b302c52b
2018-10-04 00:09 - 2018-10-04 00:09 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigndc3b24290c47d69f
2018-10-04 00:09 - 2018-10-04 00:09 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc6e9f6085aa0a1c0
2018-10-04 00:09 - 2018-10-04 00:09 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign247f6ed8b5003d27
2018-10-03 23:13 - 2018-10-03 23:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign96c723a44da67e99
2018-10-03 23:13 - 2018-10-03 23:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3eb684958ab2014a
2018-10-03 23:13 - 2018-10-03 23:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3c4069d6ac320178
2018-10-02 09:00 - 2018-10-02 09:00 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignbeeab3efd51ddb3b
2018-10-02 09:00 - 2018-10-02 09:00 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9024eb878535aed3
2018-10-02 09:00 - 2018-10-02 09:00 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign787652d80fdcbd21
2018-09-23 02:58 - 2018-09-23 02:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignb6b8748daa4b3938
2018-09-23 02:58 - 2018-09-23 02:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8343721e08503a60
2018-09-23 02:58 - 2018-09-23 02:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8241a5ae9daac9a5
2018-09-23 02:58 - 2018-09-23 02:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign061323b2ce7c2d65
2018-09-15 13:25 - 2018-09-15 13:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf9669b1cd57812a3
2018-09-15 13:25 - 2018-09-15 13:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3f7212ed0a109047
2018-09-15 13:25 - 2018-09-15 13:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3c5584c304b5e9c4
2018-09-15 00:46 - 2018-09-15 00:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc8cb9853e2bba1a6
2018-09-15 00:46 - 2018-09-15 00:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign61addbd33454cd8a
2018-09-15 00:46 - 2018-09-15 00:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4303a4b6af19cd9e
2018-09-13 20:40 - 2018-09-13 20:40 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign53ec69d752118ec7
2018-09-13 20:39 - 2018-09-13 20:39 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf9005a7d453a46ee
2018-09-13 20:39 - 2018-09-13 20:39 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign261d11ea89e1a2c0
2018-09-13 17:33 - 2018-09-13 17:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf65b3fe13590058e
2018-09-13 17:33 - 2018-09-13 17:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign826abefec63b6bf6
2018-09-13 17:33 - 2018-09-13 17:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4040cf76ec8310fb
2018-09-13 15:31 - 2018-09-13 15:31 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4c5dad5152b44b46
2018-09-13 15:31 - 2018-09-13 15:31 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2abcd57e5772f55d
2018-09-13 15:31 - 2018-09-13 15:31 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign1040b868e789f21a
2018-09-12 12:44 - 2018-09-12 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignd76d6df612f076fe
2018-09-12 12:44 - 2018-09-12 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9ff903604b56e6ca
2018-09-12 12:44 - 2018-09-12 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4645433f011b8fd3
2018-09-12 12:07 - 2018-09-12 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf7e933b5e1583109
2018-09-12 12:07 - 2018-09-12 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign75ecb59ffa4df79e
2018-09-12 12:07 - 2018-09-12 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign332db71c26ec58ca
2018-09-11 19:20 - 2018-09-11 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign6b52bed9ddc771c9
2018-09-11 19:20 - 2018-09-11 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0ca11f0f748fb78f
2018-09-11 19:20 - 2018-09-11 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0b4294738e512e92
2018-09-11 02:01 - 2018-09-11 02:01 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc962720094cea4f3
2018-09-11 02:01 - 2018-09-11 02:01 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9c41c6bf9011911d
2018-09-11 02:01 - 2018-09-11 02:01 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0a2044d6a15368fe
2018-09-10 14:46 - 2018-09-10 14:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign805f386ac50300a8
2018-09-10 14:46 - 2018-09-10 14:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign70a95ec8e1fd9bb9
2018-09-10 14:46 - 2018-09-10 14:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0014376b9e2100dd
2018-09-10 13:11 - 2018-09-10 13:11 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign836ac6b51a1a8894
2018-09-10 13:11 - 2018-09-10 13:11 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign22eee59f6d03b9a1
2018-09-10 13:11 - 2018-09-10 13:11 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign22580dca84a24711
2018-09-09 10:40 - 2018-09-09 10:40 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3f8e6a7e35953fc7
2018-09-09 10:39 - 2018-09-09 10:39 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignfe992af613ad4937
2018-09-09 10:39 - 2018-09-09 10:39 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign80d85d22c56133e4
2018-09-07 15:20 - 2018-09-07 15:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigna781626ad570ceb8
2018-09-07 15:20 - 2018-09-07 15:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign713689154f1253a5
2018-09-07 15:20 - 2018-09-07 15:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign260971a9eed99435
2018-09-06 11:31 - 2018-09-06 11:31 - 000000144 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat
2018-09-04 18:30 - 2018-09-04 18:30 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigneb249456d38d769a
2018-09-04 18:30 - 2018-09-04 18:30 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigna994da74a9c2eea3
2018-09-04 18:06 - 2018-09-04 18:06 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2f04ebe55859b9db
2018-09-04 18:06 - 2018-09-04 18:06 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0e6e63ee80508478
2018-09-02 12:45 - 2018-09-02 12:45 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign03cfa78cd04623b4
2018-09-02 12:44 - 2018-09-02 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign838ea1d45df47f08
2018-09-02 12:44 - 2018-09-02 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2f9ebb580b724f1a
2018-09-02 10:51 - 2018-09-02 10:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf27cb24339149eaf
2018-09-02 10:50 - 2018-09-02 10:50 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignfad08202bbd9ce3e
2018-09-02 10:50 - 2018-09-02 10:50 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0fd49225955f209d
2018-09-01 03:13 - 2018-09-01 03:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigna8c8968f2dc1b039
2018-09-01 03:12 - 2018-09-01 03:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigne87f7dbcafdd02c8
2018-09-01 03:12 - 2018-09-01 03:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2261ec07ff7725bd
2018-09-01 01:58 - 2018-09-01 01:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigncbad0ba34127ae11
2018-09-01 01:58 - 2018-09-01 01:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignab11669f21546189
2018-09-01 01:58 - 2018-09-01 01:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0c2452ad8486c702
2018-09-01 01:54 - 2018-09-01 01:54 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign692d29e31026ffe8
2018-09-01 01:54 - 2018-09-01 01:54 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign45fe764bf69a11b1
2018-09-01 01:54 - 2018-09-01 01:54 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign299dfd3620d41cc4
2018-09-01 01:45 - 2018-09-01 01:45 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignff0a638a99416fc2
2018-09-01 01:45 - 2018-09-01 01:45 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc2b03133b40e890e
2018-09-01 01:45 - 2018-09-01 01:45 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign79fc148a15dc6093
2018-09-01 01:02 - 2018-09-01 01:02 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign6e1a3d71ee8606ad
2018-09-01 01:02 - 2018-09-01 01:02 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign47bf2e8ce361b52b
2018-09-01 01:02 - 2018-09-01 01:02 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2a4f021963a907d9
2018-08-31 01:23 - 2018-08-31 01:23 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignafd1a09d2bec6da0
2018-08-31 00:57 - 2018-08-31 00:57 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8131933bc640deed
2018-08-31 00:56 - 2018-08-31 00:56 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign7dec32ca07a84c51
2018-08-31 00:56 - 2018-08-31 00:56 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign179b875e87188ac9
2018-08-27 16:26 - 2018-08-27 16:26 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf3f99a45cc487f26
2018-08-27 16:26 - 2018-08-27 16:26 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigne6721e39e64c5e7c
2018-08-27 16:26 - 2018-08-27 16:26 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignca74a30365d92b59
2018-08-27 15:19 - 2018-08-27 15:19 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc7c6c28d8d2495f7
2018-08-27 15:19 - 2018-08-27 15:19 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignaa9a0521cda4a080
2018-08-27 15:19 - 2018-08-27 15:19 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigna1806dc1f26ecd95
2018-08-18 21:57 - 2018-08-18 21:57 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigned31a4df5e8f145c
2018-08-17 23:25 - 2018-08-17 23:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign1bc0eabb2bce3f37
2018-08-17 23:25 - 2018-08-17 23:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign179e629faba00cdf
2018-08-16 15:12 - 2018-08-16 15:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign6afc92c48d4ab45b
2018-08-16 15:12 - 2018-08-16 15:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign26557f02b8160004
2018-08-16 15:12 - 2018-08-16 15:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign1a685b4706ed27bf



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Тупанул, изначально FRST сохранился в папку "загрузки" (эта папка лежит на рабочем столе). Переделывать ли всё заново из-за того, что FRST не в рабочем столе, а в папке?

Архив в папке не создался.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Компьютер почистили. С остальным помочь не сможем. Для WannaCry нет расшифровки и думаю не будет уже. 

Скажите, а вот у этого человека, выходит, другой случай? Я так понял, ему помогли с расшифровкой... Или нет?

Ссылка на комментарий
Поделиться на другие сайты

Расширение то же, но тип шифровальщика у него иной. У него был Xorist. 

Принято. Жаль, конечно... Такая пачка файлов полегла... Но спасибо за помощь и время.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Maximus02
      От Maximus02
      1.zip
       
      Здравствуйте!
       
      Словили шифровальшик. Пока не выяснили источник, где был произведен запуск шифровальщика. Есть зашифрованные файлы с размером и окончанием .tae7AeTe. Также есть оригинальный файл с нулевым окончанием. Зашифровано все на NAS Synology.
      Помогите пожалуйста с расшифровкой, если это возможно.
×
×
  • Создать...