reindeer 0 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Почти все файлы получили расширение .INFOWAIT CollectionLog-2018.11.18-14.26.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Не хотите рассказать как получили шифровальщика? Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
reindeer 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Не хотите рассказать как получили шифровальщика? Да как обычно, по-глупости скачал программу для перекодирования видео с непроверенного источника. Я ,в общем, попытался почистить вручную командой for /f "delims=" %a in ('dir/b/s/a-d \*.INFOWAIT') do ren "%a" "%~na" Реестр тоже почистил вручную. Прогнал еще через CCleaner. Вроде следов не осталось. Работает все, кроме нескольких видеофайлов (в свойствах нет параметров видео и аудио и ни один плеер не открывает). Ну и файлы !readme, где вымогали деньги (290$) тоже удалил вручную. FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Т.е. с помощью пакетного файла Вы меняли расширения у файлов самостоятельно? ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: BootExecute: autocheck autochk * autopart.exe CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3314759&octid=EB_ORIGINAL_CTID&ISID=MEFC3BAB2-8D85-4CD3-BB2E-1F208ACD2687&SearchSource=55&CUI=&UM=5&UP=SP7F56067C-9367-41A6-9E2A-F1224DDEE13A&SSPV=TBannersC_sp_ch CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1426688884&from=pcs&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://www.google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1432869727&z=b40bd7df0d66ca1dbdc5418g9z3c8o8b7q1t1mdo9t&from=wpm05293&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=profitraf3","hxxp://www.oursurfing.com/?type=hp&ts=1446802243&z=e1b055aa33c55385aef3929gaz6z1q3b9e0o7o3zcc&from=amt&uid=st1000dm003-9yn162_z1d1bx2jxxxxz1d1bx2j","hxxp://www.mystartsearch.com/?type=hp&ts=1446804344&z=e253bc11cba25f5094e6176gdzaz6q0bae6z8e5q2m&from=cmi&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://www.istartsurf.com/?type=hp&ts=1446899441&z=bb02ece291f164580585c4dgdzdz1qcb7t6t7g7q9o&from=face&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=820473","hxxp://www.istartpageing.com/?type=hp&ts=1455545362&z=11cca50356b3f6455a52d61gbz2w7wdw4z5w0c5q3m&from=cmi&uid=ST1000DM003-9YN162_Z1D1BX2JXXXXZ1D1BX2J","hxxp://mail.ru/cnt/10445?gp=82 2018-11-18 16:29 - 2018-11-18 19:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge 2018-11-18 16:28 - 2018-11-18 16:34 - 000000000 ____D C:\Program Files (x86)\RelevantKnowledge 2018-11-18 16:28 - 2017-05-25 08:00 - 001182624 _____ (TMRG, Inc.) C:\Windows\system32\rlls64.dll 2018-11-18 16:28 - 2017-05-25 08:00 - 000784800 _____ (TMRG, Inc.) C:\Windows\SysWOW64\rlls.dll 2018-11-18 11:57 - 2018-11-18 12:10 - 000000000 ____D C:\Users\233note\AppData\Local\79ae5fda-8dd0-405e-8643-6d6b7a2907e4 2018-11-18 11:57 - 2018-11-18 12:04 - 000000000 ____D C:\Users\233note\AppData\Local\b37e543d-99e2-46a7-aa87-3104b6cd6dee 2018-11-18 11:56 - 2018-11-18 19:26 - 000000000 ____D C:\Users\Все пользователи\72101d1e-3ee9-4f7a-8b3d-44459f18b40b 2018-11-18 11:56 - 2018-11-18 19:26 - 000000000 ____D C:\ProgramData\72101d1e-3ee9-4f7a-8b3d-44459f18b40b 2018-11-18 11:49 - 2018-11-18 11:49 - 000000258 __RSH C:\Users\233note\ntuser.pol 2018-01-18 22:19 - 2017-12-18 18:59 - 000000034 _____ () C:\Users\233note\AppData\Roaming\0fg9t.tmp 2018-01-18 22:19 - 2018-01-15 20:37 - 001250976 _____ () C:\Users\233note\AppData\Roaming\sysa.sys 2018-11-18 11:46 - 2018-11-18 11:46 - 000140800 _____ () C:\Users\233note\AppData\Local\installer.dat Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
reindeer 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Т.е. с помощью пакетного файла Вы меняли расширения у файлов самостоятельно? Именно. Архива Дата_время.zip не было. Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Очень грустно когда человек делает все чтобы ему нельзя было помочь. C:\Users\233note\Documents\desktop.ini.INFOWAIT В архиве прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
reindeer 0 Опубликовано 19 ноября, 2018 Автор Share Опубликовано 19 ноября, 2018 (изменено) Файл-невидимка какой-то. Смог увидеть его через Total Commander desktop.ini.zip Изменено 19 ноября, 2018 пользователем reindeer Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 19 ноября, 2018 Share Опубликовано 19 ноября, 2018 Stop ransomware. Возможно в техподдержке смогут помочь. Лицензия на антивирус есть? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти