unlock92 2.0 Поймал вирус, все зашифровал unlckr@tutanota.com

13 марта, 2021

Пришел на работу, включен компьютер, хотя вечером выключал, захожу весит на рабочем столе письмо о выкупе, есть пару оригинальных файлов из тех которые зашифрованы

FRST.rar Зашифрованные.rar Oreg.rar

13 марта, 2021

Здравствуйте!

К сожалению, расшифровки этой версии нет. Оригинальные файлы ничем не помогут.

Систему будете переустанавливать или почистим следы вымогателя?

13 марта, 2021

Будем чистить !

13 марта, 2021

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b3b-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {06080b5d-f132-11e3-9a6f-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {0f7bd52f-30be-11e3-aa49-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {40345d85-eb86-11e7-a036-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49444d18-c327-11ea-86cb-001fd00cd3f1} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {49997f89-4a33-11e5-a2e1-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e70a-f462-11e3-8173-001fd00cd3f1} - "G:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {5d73e777-f462-11e3-8173-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fff9c-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {924fffaa-30bc-11e3-a355-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {cb981ebd-2cdd-11e4-99a6-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a1c-6949-11e3-9eb6-806e6f6e6963} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0a64-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {d5df0b10-6949-11e3-9eb6-001fd00cd3f1} - F:\AutoRun.exe
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f72095-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0f7210b-c593-11e5-9017-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
HKU\S-1-5-21-460241438-701322720-3732054331-1000\...\MountPoints2: {f0fd71b5-efa3-11e3-9a57-001fd00cd3f1} - "F:\Install MegaFon Internet.exe"
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\drkyindlohbjnlv.txt [2021-03-09] () [Файл не подписан]
2021-03-09 20:57 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\Tasks\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Tasks\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\etc\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\Drivers\drkyindlohbjnlv.txt
2021-03-09 20:54 - 2021-03-09 20:54 - 000001345 _____ C:\Windows\system32\config\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Downloads\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\Documents\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Roaming\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\Local\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\Анатолий\AppData\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:53 - 2021-03-09 20:53 - 000001345 _____ C:\Windows\drkyindlohbjnlv.txt
2021-03-09 20:52 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Local\drkyindlohbjnlv.txt
2021-03-09 20:51 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Downloads\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Documents\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\Roaming\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\Users\user\AppData\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Microsoft\Windows\Start Menu\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Documents\drkyindlohbjnlv.txt
2021-03-09 20:50 - 2021-03-09 20:57 - 000001345 _____ C:\ProgramData\Desktop\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:50 - 000001345 _____ C:\Users\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\Program Files\Common Files\drkyindlohbjnlv.txt
2021-03-09 20:47 - 2021-03-09 20:47 - 000001345 _____ C:\drkyindlohbjnlv.txt
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

13 марта, 2021

Fixlog.txt

15 марта, 2021

Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

unlock92 2.0 Поймал вирус, все зашифровал unlckr@tutanota.com

Рекомендуемые сообщения

Lan63

Sandor

Lan63

Sandor

Lan63

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum