Перейти к содержанию

Файлы зашифрованы Trojan.Encoder.567 , установленные программы не запускаются

litis
 Share

Рекомендуемые сообщения

  • Mark D. Pearlstone changed the title to Файлы зашифрованы Trojan.Encoder.567 , установленные программы не запускаются
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-3893097744-1794477723-3316812410-1000\...\Run: [D3FCA67A-B43B996Ahta] => C:\Users\Server\AppData\Local\Temp\how_to_decrypt.hta [1794 2022-01-28] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3893097744-1794477723-3316812410-1003\...\Run: [MediaSVC] => C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Java\update.vbs (Нет файла)
HKU\S-1-5-21-3893097744-1794477723-3316812410-1004\...\MountPoints2: {77c6b6cb-014d-11e6-8433-806e6f6e6963} - D:\start.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Server\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Skvortsova\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Trustedinstallеr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Аdministrator.Server-PA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk[hopeandhonest@smime.ninja].[D3FCA67A-B43B996A] [2022-01-28]
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Владимир\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\ДИР\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Людмила\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Продавец\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
Startup: C:\Users\Юля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_to_decrypt.hta [2022-01-28] () [Файл не подписан]
2022-01-28 18:25 - 2017-08-13 21:32 - 001424896 _____ (Misc314) C:\Users\Server\Desktop\mouselock.exe
unlock: C:\Windows\JavaUpdater.exe
unlock: C:\Windows\Interrupts.exe
virustotal: C:\Windows\Interrupts.exe
virustotal: C:\Windows\JavaUpdater.exe


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      Файлы зашифрованы .Demetro9990@cock.li
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...