Перейти к содержанию

Файлы зашифрованы Trojan.Encoder.567 , установленные программы не запускаются

litis
 Share

Рекомендуемые сообщения

  • Mark D. Pearlstone changed the title to Файлы зашифрованы Trojan.Encoder.567 , установленные программы не запускаются
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3893097744-1794477723-3316812410-1000\...\Run: [D3FCA67A-B43B996Ahta] => C:\Users\Server\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-01-28] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3893097744-1794477723-3316812410-1003\...\Run: [MediaSVC] => C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Java\update.vbs (Нет файла)
HKU\S-1-5-21-3893097744-1794477723-3316812410-1004\...\MountPoints2: {77c6b6cb-014d-11e6-8433-806e6f6e6963} - D:\start.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Server\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Skvortsova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Trustedinstallеr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Аdministrator.Server-PA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk[hopeandhonest@smime.ninja].[D3FCA67A-B43B996A] [2022-01-28]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\ДИР\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Людмила\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Продавец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
2022-01-28 18:25 - 2017-08-13 21:32 - 001424896 _____ (Misc314) C:\Users\Server\Desktop\mouselock.exe
unlock: C:\Windows\JavaUpdater.exe
unlock: C:\Windows\Interrupts.exe
virustotal: C:\Windows\Interrupts.exe
virustotal: C:\Windows\JavaUpdater.exe


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • DmitriyDy
      Зашифрованы файлы *.goodluck.k ; mattersjack768@gmail.com ; Trojan.Encoder.37506
      От DmitriyDy
      ПК на Windows11, Windows 10, Windows 7
      Примерная дата шифрования с 17.01.2025
      На некоторых ПК на которых установлен Dr.Web, вирус удали практически все, даже сам Dr.Web.
      На некоторых ПК на которых установлен Dr.Web, вирус зашифровал часть файлов.
      На некоторых ПК на которых установлен Dr.Web, при загрузке Windows автоматом загружается пользователь HIguys
      На некоторых ПК на которых установлен Dr.Web, Dr.Web сработал и остановил вирус (отчеты прилагаю)
       
      Ответ поддержки Dr.Web: 
      В данном случае файл зашифрован Trojan.Encoder.37506.
      Расшифровка нашими силами невозможна
       
      Во вложеных файлах: 1. Zip архив в котором: Скрин письма о выкупе, скрин загрузки пользователя HIguys, отчеты Dr.Web, Зашиврованные файлы. 2. логи, собранные Farbar Recovery Scan
      Зашифрованные файлы+скрины+отчеты Dr.Web.zip Addition.txt FRST.txt
    • BeckOs
      Зашифрованы все файлы
      От BeckOs
      На компьютере зашифрованы все файлы. Атака была ночью 
      FRST.txt files.7z
    • BtrStr102
      Зашифрованы все файлы
      От BtrStr102
      Здравствуйте, утром зашёл в пк. Все файлы с разрешением AriSPiHDt. Удаляешь это окончание. Не открывает. Вес файлов не изменен.
       
      Антивирусы ничего не нашли.
       
       
       
       
       
       
       
       
    • timmonn
      Зашифрованы все файлы.
      От timmonn
      Здравствуйте, шифровальщик зашифровал все файлы и переименовал файлы "Примерфайла.xml.[ID-6F6D95A2].[blackdecryptor@gmail.com].9w8ww
      Не смог найти название этого шифровальщика чтоб поискать дешифровщик.
      Прошу помочь с расшифровкой.
      Addition.txt FRST.txt файлы.zip
    • Андрюс
      Файлы зашифрованы с расширением vTEyZg5DZ
      От Андрюс
      Получили по почте письмо, открыли его и сразу произошла шифровка всех документов. Прилагаем требуемые файлы
      x1.rar
      Скажите возможно ли расшифровать?
×
×
  • Создать...