helperdisk.cocl.li

22 октября, 2019

Добрый день, прошу помощи. На компьютере троян зашифровал файлы. Есть ли возможность дешифровки?

Помогите пожалуйста. Пару файлов оригинал и зашифрованный прикрепил. Заранее спасибо.

id-A0E044E7.helperdisk@cock.li.rar

22 октября, 2019

Здравствуйте!

Порядок оформления запроса о помощи

Если есть записка с требованием выкупа, её тоже прикрепите.

22 октября, 2019

Отчет автологгера и записка от шифровальщика

CollectionLog-2019.10.22-12.36.zip

FILES ENCRYPTED.txt

22 октября, 2019

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Но с высокой долей вероятности предположу, что расшифровки нет.

Если нужна помощь в очистке следов и мусора, дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

22 октября, 2019

+ просьба сделайте экспорт, заархивируйте и прикрепите этих двух ключей реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AeLookupSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ALG

22 октября, 2019

+ просьба сделайте экспорт, заархивируйте и прикрепите этих двух ключей реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AeLookupSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ALG

alg.rar

Изменено 22 октября, 2019 пользователем polduima

22 октября, 2019

Отчёты Farbar Recovery Scan Tool тоже покажите.

22 октября, 2019

Отчёты Farbar Recovery Scan Tool тоже покажите.

Frst_addit.rar

23 октября, 2019

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {6f8cdc81-314d-11e6-ab8d-0000f07c538a} - "E:\Install MegaFon Internet.exe"
HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {a7b5a2e2-1c10-11e6-a18d-0000f07c538a} - "E:\Install MegaFon Internet.exe"
HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {d62d80e8-1c04-11e6-b178-0000f07c538a} - "E:\Install MegaFon Internet.exe"
HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {d62d80f6-1c04-11e6-b178-0000f07c538a} - "E:\Install MegaFon Internet.exe"
Startup: C:\Users\Galechka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\logs.exe [2019-10-21] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
Task: {A10FC12A-772B-46D1-9A9B-F23DE34F31FF} - System32\Tasks\Realtek HD Audio => C:\Users\User\AppData\Roaming\GHISLER\Realtek HD\rthdcpl.exe <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
2019-10-22 10:01 - 2019-10-22 10:07 - 000000214 _____ C:\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\User\Desktop\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 09:24 - 000000214 _____ C:\Users\FILES ENCRYPTED.txt
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

23 октября, 2019

Добрый день. Скажите пож-та, я правильно понимаю, что все эти манипуляции помогут мне почистить систему, но никаким образом не влияют на возможность дешифровки нескольких ценных файлов?

Если так, то еще раз благодарю за помощь.

Думаю на этом тему можно закрывать....

P.S.

Чистить систему не буду.. Снесу все и поставлю начисто...

Нужные файлы в зашифрованном виде скопировал на отдельную флешку. Буду ждать может появится дешифратор когда-то.

Хотя я думаю, что к тому времени файлы станут неактуальны....

Еще раз спасибо за помощь.

23 октября, 2019

не влияют на возможность дешифровки

Верно, не влияют.

Только переустанавливать систему не обязательно. Скрипт дочистит кое-какой мусор, а вымогателя в системе уже нет.

Впрочем, ваше право.

На будущее почитайте Рекомендации после удаления вредоносного ПО

helperdisk.cocl.li

Рекомендуемые сообщения

polduima

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

polduima

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

polduima

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

polduima

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

polduima

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum