Zerox Опубликовано 16 января, 2019 Опубликовано 16 января, 2019 Добрый день, вирус пришел на компьютер на почту от партнера с кем давно общаемся (взломали почту). Шифровальщик зашифровал файлы пользователя. После проверки Касперским шифровальщик нашелся в процессе сscc.exe (буквы могу путать, но вроде так) и был удален. В приложении логи и файл с инфой о выкупе rfst.rar
mike 1 Опубликовано 16 января, 2019 Опубликовано 16 января, 2019 Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».
Zerox Опубликовано 16 января, 2019 Автор Опубликовано 16 января, 2019 Прикрепляю логи логи CollectionLog-2019.01.16-17.57.zip
mike 1 Опубликовано 16 января, 2019 Опубликовано 16 января, 2019 O4-32 - HKLM\..\Run: [AddR2] = \\Server2\erp\old\Pric.exe (file missing) Это знакомо? ESET NOD32 Antivirus (HKLM\...\{CBDC9775-5E6B-4720-A392-90E9C1C9CD4A}) (Version: 4.2.76.1 - ESET, spol. s r.o.) Антивирус почему такой древний установлен?
Zerox Опубликовано 16 января, 2019 Автор Опубликовано 16 января, 2019 1. Да знакома, это наша программа. 2. Ну так вышло, наше начальство не хочет вкладываться в ПО. Я так понял, что вирус очищен и вариантов восстановления файлов нет?
mike 1 Опубликовано 16 января, 2019 Опубликовано 16 января, 2019 (изменено) Ну так вышло, наше начальство не хочет вкладываться в ПО. Для информации: переход с действующей лицензии на более новые версии антивирусного ПО обычно бесплатный. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] 2019-01-16 15:02 - 2019-01-16 15:02 - 006220854 _____ d:\Users\avalygin\AppData\Roaming\E58BE712E58BE712.bmp 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README9.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README8.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README7.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README6.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README5.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README4.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README3.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README2.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README10.txt Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Расшифровки нет. Изменено 16 января, 2019 пользователем mike 1
Zerox Опубликовано 17 января, 2019 Автор Опубликовано 17 января, 2019 (изменено) Ну так вышло, наше начальство не хочет вкладываться в ПО. Для информации: переход с действующей лицензии на более новые версии антивирусного ПО обычно бесплатный. ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] 2019-01-16 15:02 - 2019-01-16 15:02 - 006220854 _____ d:\Users\avalygin\AppData\Roaming\E58BE712E58BE712.bmp 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README9.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README8.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README7.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README6.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README5.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README4.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README3.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README2.txt 2019-01-16 15:02 - 2019-01-16 15:02 - 000004150 _____ d:\Users\avalygin\Desktop\README10.txt Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Расшифровки нет. прикрепил Fixlog.txt Изменено 17 января, 2019 пользователем Zerox
mike 1 Опубликовано 17 января, 2019 Опубликовано 17 января, 2019 (изменено) Такая же беда в администрации. Имеет ли смысл ждать дешифратор? Расшифровки думаю не будет. Создайте свою тему. Не надо писать в чужой. Zerox, смените все пароли. Изменено 17 января, 2019 пользователем mike 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти