Андрей Журавлев 0 Опубликовано 26 января, 2020 Share Опубликовано 26 января, 2020 (изменено) Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar Также сообщение All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li Write this ID in the title of your message 04908180 In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Добрый день, помогите справится с шифровальшиком. Все файлы зашифрованы, после файла добавлено расширение id-04908180.[supp37@cock.li].wrar Также сообщение All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail supp37@cock.li Write this ID in the title of your message 04908180 In case of no answer in 24 hours write us to theese e-mails:supp37@cock.li You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files. Прикрепляю логи Farbar FRST.rar FRST.rar Изменено 26 января, 2020 пользователем Андрей Журавлев Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 26 января, 2020 Share Опубликовано 26 января, 2020 C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.info/upload_virus.php?tid=37678 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [xxx.exe] => C:\Users\Администратор\AppData\Roaming\xxx.exe [94720 2020-01-26] () [File not signed] HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13904 2020-01-26] () [File not signed] HKLM\...\Run: [C:\Users\Наталья\AppData\Roaming\Info.hta] => C:\Users\Наталья\AppData\Roaming\Info.hta [13904 2020-01-25] () [File not signed] HKLM\...\Run: [C:\Users\Администратор\AppData\Roaming\Info.hta] => C:\Users\Администратор\AppData\Roaming\Info.hta [13904 2020-01-26] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed] Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-26] () [File not signed] Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-26] () [File not signed] Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-01-25] () [File not signed] Startup: C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe [2020-01-25] () [File not signed] GroupPolicy: Restriction - Chrome <==== ATTENTION GroupPolicy-x32: Restriction - Chrome <==== ATTENTION C:\Users\Наталья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\xxx.exe C:\Users\Администратор\AppData\Roaming\xxx.exe Task: {5C715C86-11F9-4FA6-9C89-8688B10172A1} - \KMSAutoNet -> No File <==== ATTENTION Task: {5D825102-6066-4A7E-86DA-1FA20A42E2AC} - System32\Tasks\GoogleUpdateTaskMachineLS => C:\Users\Наталья\AppData\Roaming\Oracle\Secure\9989F31B-1ED9-41F3-8AC1-7CBE6415C30E\javsecc.exe <==== ATTENTION BHO: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~1\MICROS~1\Office14\URLREDIR.DLL => No File BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File BHO-x32: Groove GFS Browser Helper -> {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -> C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL => No File BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => No File BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll No File Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL No File SearchScopes: HKU\S-1-5-21-3793888213-1153031230-1610408190-500 -> A6971567146397A37C6BB2C0A182CEDE URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=&src=crm&q={searchTerms}&locale= 2020-01-26 09:27 - 2020-01-26 09:27 - 000013904 _____ C:\Users\Администратор\AppData\Roaming\Info.hta 2020-01-26 09:27 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Администратор\Desktop\FILES ENCRYPTED.txt 2020-01-25 03:29 - 2020-01-26 09:27 - 000013904 _____ C:\Windows\system32\Info.hta 2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt 2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt 2020-01-25 03:29 - 2020-01-26 09:27 - 000000162 _____ C:\FILES ENCRYPTED.txt End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: перезагрузку компьютеранужно выполнить вручную после данного скрипта. Ссылка на сообщение Поделиться на другие сайты
Андрей Журавлев 0 Опубликовано 26 января, 2020 Автор Share Опубликовано 26 января, 2020 файл во вложении Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 26 января, 2020 Share Опубликовано 26 января, 2020 C:\Users\Администратор\AppData\Roaming\xxx.exe заархивируйте в zip-архив с паролем virus (в имени архива не должно быть символов кириллицы) и загрузите архив по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Это я сам с собой поговорил? С расшифровкой помочь не сможем. Ссылка на сообщение Поделиться на другие сайты
Андрей Журавлев 0 Опубликовано 26 января, 2020 Автор Share Опубликовано 26 января, 2020 C:\Users\Администратор\AppData\Roaming\xxx.exeфайл найти не могу C:\Users\Администратор\AppData\Roaming\xxx.exeфайл найти не могу C:\Users\Администратор\AppData\Roaming\xxx.exeфайл найти не могу Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 26 января, 2020 Share Опубликовано 26 января, 2020 После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались. Ссылка на сообщение Поделиться на другие сайты
Андрей Журавлев 0 Опубликовано 27 января, 2020 Автор Share Опубликовано 27 января, 2020 После выполнения скрипта его искать в системе уже бесполезно. Потому и нужно было выполнять рекомендации в том порядке, как они выдавались. Добрый день, файл нашли в удаленных копиях. Восстановили и загрузили архив по ссылке https://virusinfo.in...s.php?tid=37678 Ссылка на сообщение Поделиться на другие сайты
Андрей Журавлев 0 Опубликовано 27 января, 2020 Автор Share Опубликовано 27 января, 2020 Скажите пожалуйста, вы сможете мне помочь? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 27 января, 2020 Share Опубликовано 27 января, 2020 Выше я уже писал С расшифровкой помочь не сможем. Расшифровки нет ни у одной антивирусной компании. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти