файлы .wncry

[dimaflash]

Здравствуйте. Больше года назад, в мае попал под атаку вируса WannaCry. Вирус поел все мои файлы и папки на рабочем столе. После этого я пропатчил операционку(лицензионная вин7 про х64), расшифровку с заражёнными файлами решил отложить на потом.

 

Собственно, прошу помощи с расшифровкой. Вирус атаковал рабочий стол и на нём же остановил свою деятельность. С тех пор никаким атакам комп более не подвергался, винда и антивирь регулярно обновляются. 

 

CollectionLog-2018.11.10-22.01.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteService('dwbqxthj');
 DeleteService('rjiuonsr');
 DeleteService('tofnzkda');
 DeleteService('bacshciy');
 DeleteService('jtrumybywhowrt816');
 DeleteService('clr_optimization_v1.03');
 QuarantineFile('C:\Users\dimaflash\AppData\Roaming\System\svchost.exe','');
 QuarantineFile('c:\program files (x86)\ghostwin\ghostwin.exe','');
 TerminateProcessByName('c:\program files (x86)\aflics\afterflics.exe');
 QuarantineFile('c:\program files (x86)\aflics\afterflics.exe','');
 DeleteFile('c:\program files (x86)\aflics\afterflics.exe','32');
 DeleteFile('C:\Users\dimaflash\AppData\Roaming\System\svchost.exe','64');
 DeleteFile('C:\ProgramData\jtrumybywhowrt816\tasksche.exe','64');
 DeleteFile('C:\Windows\system32\drivers\bacshciy.sys','64');
 DeleteFile('C:\Windows\system32\drivers\dwbqxthj.sys','64');
 DeleteFile('C:\Windows\system32\drivers\rjiuonsr.sys','64');
 DeleteFile('C:\Windows\system32\drivers\tofnzkda.sys','64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Сделайте новые логи Автологгером. 

 

[dimaflash]

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Сделайте новые логи Автологгером. 

 

 

Здравствуйте! Почему-то Яндекс никак не хочет отправлять сообщение на адрес mike1@avp.su.

 

Прикладываю архив сюда.

 

https://virusinfo.info/virusdetector/report.php?md5=A8D418B3E17896E574FB39FCDD8971FB - ссылка на результаты проверки карантина.

CollectionLog-2018.11.11-15.51.zip

Изменено 11 ноября, 2018 пользователем mike 1
Карантин в теме

[mike 1]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 DeleteFile('C:\Users\dimaflash\AppData\Roaming\XRay Engine\Windows Defender\MSASCui.exe','64');
 DeleteSchedulerTask('Windows Defender User Interface');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Запустите ClearLnk и скопируйте в окно программы следующий текст:

 

C:\Users\dimaflash\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\dimaflash\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk

 

• Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте такой лог https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/

[dimaflash]

 

• Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте такой лог https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/

 

ClearLNK-2018.11.12_00.24.12.log

MalwareLog.txt

[mike 1]

Удалите в MBAM все, кроме:

Файлы:
Generic.Malware/Suspicious, C:\USERS\DIMAFLASH\APPDATA\ROAMING\THINSTALL\Сократ Персональный 4.1\4000008800002I\SPV.EXE, Проигнорировано пользователем, [0], [392686],1.0.7797
PUP.Optional.InstallCore, C:\USERS\DIMAFLASH\APPDATA\ROAMING\Microsoft\Windows\SendTo\Picosmos Shows.lnk, Проигнорировано пользователем, [406], [542255],1.0.7797
PUP.Optional.InstallCore, C:\PROGRAM FILES (X86)\PICOSMOSTOOLS\PICOSMOSSHOWS.EXE, Проигнорировано пользователем, [406], [542255],1.0.7797

Сделайте новый лог MBAM после удаления.

[dimaflash]

Удалите в MBAM все, кроме:

Файлы:
Generic.Malware/Suspicious, C:\USERS\DIMAFLASH\APPDATA\ROAMING\THINSTALL\Сократ Персональный 4.1\4000008800002I\SPV.EXE, Проигнорировано пользователем, [0], [392686],1.0.7797
PUP.Optional.InstallCore, C:\USERS\DIMAFLASH\APPDATA\ROAMING\Microsoft\Windows\SendTo\Picosmos Shows.lnk, Проигнорировано пользователем, [406], [542255],1.0.7797
PUP.Optional.InstallCore, C:\PROGRAM FILES (X86)\PICOSMOSTOOLS\PICOSMOSSHOWS.EXE, Проигнорировано пользователем, [406], [542255],1.0.7797

Сделайте новый лог MBAM после удаления.

MalwareLog2.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[dimaflash]

 

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Addition.txt

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKU\S-1-5-21-2124774411-3236558020-4183319695-1000\...\Policies\Explorer: [] 

GroupPolicy: Restriction ? <==== ATTENTION

GroupPolicy\User: Restriction ? <==== ATTENTION

2018-11-09 02:37 - 2018-11-09 02:37 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignfe5ea85c4d1a3d80

2018-11-09 02:37 - 2018-11-09 02:37 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignb293e8f47a419413

2018-11-09 02:37 - 2018-11-09 02:37 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8c0e38bf439a9c18

2018-11-09 02:37 - 2018-11-09 02:37 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0ca92388a6d23f31

2018-11-08 15:46 - 2018-11-08 15:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc326bb1461a8bbdc

2018-11-08 15:42 - 2018-11-08 15:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignb4dd9dd43726acae

2018-11-08 15:42 - 2018-11-08 15:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8142d21d8b86f30e

2018-11-08 15:42 - 2018-11-08 15:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0a1ab3a8966562e2

2018-11-08 12:40 - 2018-11-08 12:40 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign59625f6716250727

2018-11-08 12:07 - 2018-11-08 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigncb88ccf9e3c61c71

2018-11-08 12:07 - 2018-11-08 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignae7ff5614c4d0795

2018-11-08 12:07 - 2018-11-08 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign21fdf8cea9a4af71

2018-11-08 02:33 - 2018-11-08 02:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignbd395fd2f3dbb917

2018-11-08 02:33 - 2018-11-08 02:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign75a17aa2084f375e

2018-11-07 12:20 - 2018-11-07 12:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf64afa708e43ba91

2018-11-07 12:20 - 2018-11-07 12:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignaea3c69746f896f1

2018-11-07 12:20 - 2018-11-07 12:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9556f431fd38890a

2018-11-07 12:20 - 2018-11-07 12:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign47f1754b4830c936

2018-11-07 11:38 - 2018-11-07 11:38 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign5e65d3e96463ab66

2018-11-07 10:03 - 2018-11-07 10:03 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignfcb0c3bcca7963c2

2018-11-07 10:03 - 2018-11-07 10:03 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignee04ea8eebd5a4b9

2018-11-07 10:03 - 2018-11-07 10:03 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignde9d18a33672dd54

2018-11-06 19:38 - 2018-11-06 19:38 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3ba1c38e950eede0

2018-11-06 19:20 - 2018-11-06 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigne30793c5dcd9f7e8

2018-11-06 19:20 - 2018-11-06 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignd784a88539d0c381

2018-11-06 19:20 - 2018-11-06 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign26bc71c5d0c4feea

2018-11-05 17:13 - 2018-11-05 17:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9806415b7429c3bf

2018-11-05 17:09 - 2018-11-05 17:09 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign5f4efcf41066ec84

2018-11-05 17:07 - 2018-11-05 17:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign677a6639c3252e34

2018-11-05 17:07 - 2018-11-05 17:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign6244582b5d813fdb

2018-11-04 21:51 - 2018-11-04 21:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc39f7710f73914c0

2018-11-04 21:51 - 2018-11-04 21:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignbc4e19a1cdb0c2fa

2018-11-04 21:51 - 2018-11-04 21:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignb87cc80c4f7f6902

2018-11-04 21:51 - 2018-11-04 21:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign308b70259129045e

2018-10-27 21:42 - 2018-10-27 21:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignd9fab2803a76377e

2018-10-27 21:42 - 2018-10-27 21:42 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigncef0f84ee3438df7

2018-10-27 21:41 - 2018-10-27 21:41 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8b354fc76ad9bf87

2018-10-27 21:41 - 2018-10-27 21:41 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4b6cc95b8b8502b3

2018-10-21 14:47 - 2018-10-21 14:47 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign962bbdda686ddd87

2018-10-21 14:47 - 2018-10-21 14:47 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign46e0e28a378ea15d

2018-10-13 03:58 - 2018-10-13 03:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign173ddf80eaeb5f4e

2018-10-13 03:57 - 2018-10-13 03:57 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigne23e944bbc2ce4f4

2018-10-13 03:57 - 2018-10-13 03:57 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign7b6de1020bb89e53

2018-10-04 02:22 - 2018-10-04 02:22 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf9ea7a657bc44e0f

2018-10-04 02:22 - 2018-10-04 02:22 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignd523f43b4dda17d9

2018-10-04 02:22 - 2018-10-04 02:22 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc91dfe14b302c52b

2018-10-04 00:09 - 2018-10-04 00:09 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigndc3b24290c47d69f

2018-10-04 00:09 - 2018-10-04 00:09 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc6e9f6085aa0a1c0

2018-10-04 00:09 - 2018-10-04 00:09 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign247f6ed8b5003d27

2018-10-03 23:13 - 2018-10-03 23:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign96c723a44da67e99

2018-10-03 23:13 - 2018-10-03 23:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3eb684958ab2014a

2018-10-03 23:13 - 2018-10-03 23:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3c4069d6ac320178

2018-10-02 09:00 - 2018-10-02 09:00 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignbeeab3efd51ddb3b

2018-10-02 09:00 - 2018-10-02 09:00 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9024eb878535aed3

2018-10-02 09:00 - 2018-10-02 09:00 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign787652d80fdcbd21

2018-09-23 02:58 - 2018-09-23 02:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignb6b8748daa4b3938

2018-09-23 02:58 - 2018-09-23 02:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8343721e08503a60

2018-09-23 02:58 - 2018-09-23 02:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8241a5ae9daac9a5

2018-09-23 02:58 - 2018-09-23 02:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign061323b2ce7c2d65

2018-09-15 13:25 - 2018-09-15 13:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf9669b1cd57812a3

2018-09-15 13:25 - 2018-09-15 13:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3f7212ed0a109047

2018-09-15 13:25 - 2018-09-15 13:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3c5584c304b5e9c4

2018-09-15 00:46 - 2018-09-15 00:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc8cb9853e2bba1a6

2018-09-15 00:46 - 2018-09-15 00:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign61addbd33454cd8a

2018-09-15 00:46 - 2018-09-15 00:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4303a4b6af19cd9e

2018-09-13 20:40 - 2018-09-13 20:40 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign53ec69d752118ec7

2018-09-13 20:39 - 2018-09-13 20:39 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf9005a7d453a46ee

2018-09-13 20:39 - 2018-09-13 20:39 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign261d11ea89e1a2c0

2018-09-13 17:33 - 2018-09-13 17:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf65b3fe13590058e

2018-09-13 17:33 - 2018-09-13 17:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign826abefec63b6bf6

2018-09-13 17:33 - 2018-09-13 17:33 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4040cf76ec8310fb

2018-09-13 15:31 - 2018-09-13 15:31 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4c5dad5152b44b46

2018-09-13 15:31 - 2018-09-13 15:31 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2abcd57e5772f55d

2018-09-13 15:31 - 2018-09-13 15:31 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign1040b868e789f21a

2018-09-12 12:44 - 2018-09-12 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignd76d6df612f076fe

2018-09-12 12:44 - 2018-09-12 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9ff903604b56e6ca

2018-09-12 12:44 - 2018-09-12 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign4645433f011b8fd3

2018-09-12 12:07 - 2018-09-12 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf7e933b5e1583109

2018-09-12 12:07 - 2018-09-12 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign75ecb59ffa4df79e

2018-09-12 12:07 - 2018-09-12 12:07 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign332db71c26ec58ca

2018-09-11 19:20 - 2018-09-11 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign6b52bed9ddc771c9

2018-09-11 19:20 - 2018-09-11 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0ca11f0f748fb78f

2018-09-11 19:20 - 2018-09-11 19:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0b4294738e512e92

2018-09-11 02:01 - 2018-09-11 02:01 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc962720094cea4f3

2018-09-11 02:01 - 2018-09-11 02:01 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign9c41c6bf9011911d

2018-09-11 02:01 - 2018-09-11 02:01 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0a2044d6a15368fe

2018-09-10 14:46 - 2018-09-10 14:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign805f386ac50300a8

2018-09-10 14:46 - 2018-09-10 14:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign70a95ec8e1fd9bb9

2018-09-10 14:46 - 2018-09-10 14:46 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0014376b9e2100dd

2018-09-10 13:11 - 2018-09-10 13:11 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign836ac6b51a1a8894

2018-09-10 13:11 - 2018-09-10 13:11 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign22eee59f6d03b9a1

2018-09-10 13:11 - 2018-09-10 13:11 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign22580dca84a24711

2018-09-09 10:40 - 2018-09-09 10:40 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign3f8e6a7e35953fc7

2018-09-09 10:39 - 2018-09-09 10:39 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignfe992af613ad4937

2018-09-09 10:39 - 2018-09-09 10:39 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign80d85d22c56133e4

2018-09-07 15:20 - 2018-09-07 15:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigna781626ad570ceb8

2018-09-07 15:20 - 2018-09-07 15:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign713689154f1253a5

2018-09-07 15:20 - 2018-09-07 15:20 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign260971a9eed99435

2018-09-06 11:31 - 2018-09-06 11:31 - 000000144 _____ C:\Windows\system32\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.bat

2018-09-04 18:30 - 2018-09-04 18:30 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigneb249456d38d769a

2018-09-04 18:30 - 2018-09-04 18:30 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigna994da74a9c2eea3

2018-09-04 18:06 - 2018-09-04 18:06 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2f04ebe55859b9db

2018-09-04 18:06 - 2018-09-04 18:06 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0e6e63ee80508478

2018-09-02 12:45 - 2018-09-02 12:45 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign03cfa78cd04623b4

2018-09-02 12:44 - 2018-09-02 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign838ea1d45df47f08

2018-09-02 12:44 - 2018-09-02 12:44 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2f9ebb580b724f1a

2018-09-02 10:51 - 2018-09-02 10:51 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf27cb24339149eaf

2018-09-02 10:50 - 2018-09-02 10:50 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignfad08202bbd9ce3e

2018-09-02 10:50 - 2018-09-02 10:50 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0fd49225955f209d

2018-09-01 03:13 - 2018-09-01 03:13 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigna8c8968f2dc1b039

2018-09-01 03:12 - 2018-09-01 03:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigne87f7dbcafdd02c8

2018-09-01 03:12 - 2018-09-01 03:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2261ec07ff7725bd

2018-09-01 01:58 - 2018-09-01 01:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigncbad0ba34127ae11

2018-09-01 01:58 - 2018-09-01 01:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignab11669f21546189

2018-09-01 01:58 - 2018-09-01 01:58 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign0c2452ad8486c702

2018-09-01 01:54 - 2018-09-01 01:54 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign692d29e31026ffe8

2018-09-01 01:54 - 2018-09-01 01:54 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign45fe764bf69a11b1

2018-09-01 01:54 - 2018-09-01 01:54 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign299dfd3620d41cc4

2018-09-01 01:45 - 2018-09-01 01:45 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignff0a638a99416fc2

2018-09-01 01:45 - 2018-09-01 01:45 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc2b03133b40e890e

2018-09-01 01:45 - 2018-09-01 01:45 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign79fc148a15dc6093

2018-09-01 01:02 - 2018-09-01 01:02 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign6e1a3d71ee8606ad

2018-09-01 01:02 - 2018-09-01 01:02 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign47bf2e8ce361b52b

2018-09-01 01:02 - 2018-09-01 01:02 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign2a4f021963a907d9

2018-08-31 01:23 - 2018-08-31 01:23 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignafd1a09d2bec6da0

2018-08-31 00:57 - 2018-08-31 00:57 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign8131933bc640deed

2018-08-31 00:56 - 2018-08-31 00:56 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign7dec32ca07a84c51

2018-08-31 00:56 - 2018-08-31 00:56 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign179b875e87188ac9

2018-08-27 16:26 - 2018-08-27 16:26 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignf3f99a45cc487f26

2018-08-27 16:26 - 2018-08-27 16:26 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigne6721e39e64c5e7c

2018-08-27 16:26 - 2018-08-27 16:26 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignca74a30365d92b59

2018-08-27 15:19 - 2018-08-27 15:19 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignc7c6c28d8d2495f7

2018-08-27 15:19 - 2018-08-27 15:19 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsignaa9a0521cda4a080

2018-08-27 15:19 - 2018-08-27 15:19 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigna1806dc1f26ecd95

2018-08-18 21:57 - 2018-08-18 21:57 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsigned31a4df5e8f145c

2018-08-17 23:25 - 2018-08-17 23:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign1bc0eabb2bce3f37

2018-08-17 23:25 - 2018-08-17 23:25 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign179e629faba00cdf

2018-08-16 15:12 - 2018-08-16 15:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign6afc92c48d4ab45b

2018-08-16 15:12 - 2018-08-16 15:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign26557f02b8160004

2018-08-16 15:12 - 2018-08-16 15:12 - 000000000 ____D C:\Users\dimaflash\AppData\Local\Tempzxpsign1a685b4706ed27bf

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[dimaflash]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Тупанул, изначально FRST сохранился в папку "загрузки" (эта папка лежит на рабочем столе). Переделывать ли всё заново из-за того, что FRST не в рабочем столе, а в папке?

Архив в папке не создался.

Fixlog.txt

[mike 1]

Компьютер почистили. С остальным помочь не сможем. Для WannaCry нет расшифровки и думаю не будет уже. 

[dimaflash]

Компьютер почистили. С остальным помочь не сможем. Для WannaCry нет расшифровки и думаю не будет уже. 

Скажите, а вот у этого человека, выходит, другой случай? Я так понял, ему помогли с расшифровкой... Или нет?

[mike 1]

Расширение то же, но тип шифровальщика у него иной. У него был Xorist. 

[dimaflash]

Расширение то же, но тип шифровальщика у него иной. У него был Xorist. 

Принято. Жаль, конечно... Такая пачка файлов полегла... Но спасибо за помощь и время.