Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте!

 

Это Unlock92 2.0, к сожалению, расшифровки нет.

Для верности создайте запрос.

 

"Пофиксите" в HijackThis:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\laeahlnomupvnyy.txt
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\danil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\danil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - Startup other users: C:\Users\user5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - Startup other users: C:\Users\user5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O4 - User Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\siikjlwggxnqvye.txt
O4 - User Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sqxjotugnbohyby.txt
O20-32 - HKLM\..\Winlogon\Notify\ScCertProp  : [DllName] = (no file)
Перезагрузите компьютер и соберите свежий CollectionLog.
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

готово

SecurityCheck.txt

Опубликовано

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 11.0.9600.19035 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Восстановление системы отключено

------------------------------- [ HotFix ] --------------------------------

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4499175 Внимание! Скачать обновления

HotFix KB4490628 Внимание! Скачать обновления

HotFix KB4512486 Внимание! Скачать обновления

HotFix KB4534310 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления

Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice

-------------------------------- [ Arch ] ---------------------------------

WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Reader XI - Russian v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

 

 

Перечисленное желательно всё выполнить, особенно хотфиксы.

 

Читайте Рекомендации после удаления вредоносного ПО

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • wzor
      Автор wzor
      Добрый день 
      Оператор ПК получил письмо с архивом, распаковал, запустил.
      Часть критичных файлов зашифрована.
      Были бы очень благодарны за расшифровку.
      Архив с вирусом имеется.
       
      CollectionLog-2017.09.29-09.49.zip
      зашифровано.zip

    • shik8787
      Автор shik8787
      Зашифровались файлы после открытия ссылки из письма http://bit.ly/2xp9YUm
      Зашифровались все картинки, документы xls и doc. К архивам просто добавлено расширение файлов ou26c9. После переименования архивы заработали
      Шифратор успел добраться до подключенных сетевых дисков
       
      Архив с примером зашифрованного файла, картинкой с требованиями и ключ в архиве во вложении
       
      P.S.
      Kaspersky Small Office Security 5 обнаружил HEUR:Trojan-Ransom.Win32.Generic, но уже после заражения

      Архив с логом
      !Backup.zip
      CollectionLog-2017.09.27-12.12.zip
    • SageCompany
      Автор SageCompany
      Все файлы ворд эксель картинки зашифровались, расширение выглядит так: имя.doc.uo7t9 позже на почту пришло письмо 
      Ваши файлы зашифрованы с использованием алгоритма RSA-2048.
      Если хотите их вернуть отправить один из файлов и файл krc.af на e-mail: unlckr@protonmail.com
      Если вы не получили ответ в течении суток или письмо возвращается с ошибкой то скачайте с сайта www.torproject.com браузер TOR и с его помощью зайдите на сайт http://n3r2kuzhw2h7x6j5.onion- там будет указан действующий почтовый ящик.
      Попытки самостоятельного восстановления файлов могут безвозвратно их испортить

      CollectionLog-2017.09.08-09.43.zip
    • Фридом
      Автор Фридом
      Получили по почте файл (акт сверки), запустили не подумав - документы перестали открываться и появилось сообщение с требованием выкупа. Расширение документов не изменилось. Возможно ли что-нибудь сделать?
      CollectionLog-2017.02.13-15.48.zip
    • evgenie
      Автор evgenie
      на сервере зашифровали файлы, проблему уже решили, но хотели бы пару файлов восстановить, может кто нибудь помочь ?
       
      письмо от создателя :
      Ваши файлы зашифрованы. Если хотите их вернуть отправьте один из зашифрованных файлов на e-mail: unk921@protonmail.com  Если вы не получили ответа в течение суток то скачайте с сайта www.torproject.com браузер  TOR  и с его помощью зайдите на сайт: http://n3r2kuzhw2hx6j5.onion(https://n3r2kuzhw2h7x6j5.tor2web.io/ - с любого другого браузера без использования TOR) -  там будет указан действующий почтовый ящик.  Попытки самостоятельного восстановления файлов могут безвозвратно их испортить!   Your files have been encrypted. If you want to restore files, send one more file us to the e-mail: unk921@protonmail.com Only in case you do not receive a response from the first email address withit 24 hours, please use use TOR browser from www.torproject.com and see current  e-mail in http://n3r2kuzhw2hx6j5.onion(https://n3r2kuzhw2h7x6j5.tor2web.io/ - from any other browser w/o using a TOR) Using another tools could corrupt your files, in case of using third party  software we dont give guarantees that full recovery is possible so use it on  your own risk.
×
×
  • Создать...