Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Зашифроовало email-crypt.cryptor@aol.com.ver-CL 1.2.0.0.id-GJMPSVYADFILNQTVYADGJLNRTWZBEGJMORUX-12.12.201510@59@296059036.randomname-BEIKNQSWY...OQTWYB.EGK.cbf (заявка № 194488)

  1. #1
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26

    Зашифроовало email-crypt.cryptor@aol.com.ver-CL 1.2.0.0.id-GJMPSVYADFILNQTVYADGJLNRTWZBEGJMORUX-12.12.201510@59@296059036.randomname-BEIKNQSWY...OQTWYB.EGK.cbf

    Открываю я сегодня свой чудо ПК, а у меня большенство файлов пропало((((

    вот куча таких файлов на диске: email-crypt.cryptor@aol.com.ver-CL 1.2.0.0.id-GJMPSVYADFILNQTVYADGJLNRT...OQTWYB.EGK.cbf


    Походу кто то словил шифровальщина, файлы созданы все в одно и тоже самое время 12 декабря 2015 г., 11:15:46

    И теперь пропала функция поиска, думал по маске найти все файлы да удалить но не открывает поиск, никакой ошибки не выдает

    При проверке на вирусы был обнаружен Trojan.Win32.Scar

    Проверку на avz и касперского уже делал.


    так же добавляю:
    Зашифрованый файл
    http://rghost.ru/78kvXHFjD
    Отчет AdwCleaner (by Xplode)
    http://rghost.ru/private/6bNcNk9DN/7580b94...ab2e894be15c0a2


    Addition.txt
    http://rghost.ru/private/8WPH5DPHh/8c1ecbb...2b32ea0fac335d4

    FRST.txt
    http://rghost.ru/private/6mdyMvqsP/be296da...c70910685d34145

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,266
    Вес репутации
    327
    Уважаемый(ая) kot488, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    И с avz отчет

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Логи нужны с компьютера, ставшего источником шифрования
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    Цитата Сообщение от thyrex Посмотреть сообщение
    Логи нужны с компьютера, ставшего источником шифрования
    Так это они и есть

  7. #6
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    Так что вариантов нет?

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  9. #8
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    В первом сообщении были прикреплены эти отчеты

  10. #9
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Лазить по обменникам я не буду
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    сделал

  12. #11
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    Будет время посмотрите пожалуйста возможно ли расшифровать файлы, спасибо за отзывчивость)

  13. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
    AlternateDataStreams: C:\Documents and Settings\alla:id
    AlternateDataStreams: C:\Documents and Settings\byx:id
    AlternateDataStreams: C:\Documents and Settings\direktor:id
    AlternateDataStreams: C:\Documents and Settings\olya:id
    AlternateDataStreams: C:\Documents and Settings\Администратор:id
    2015-12-12 10:59 - 2015-12-12 11:26 - 0000081 _____ () C:\Program Files\TUNWPDWWCZ.XKT
    2015-11-25 17:26 - 2015-11-25 17:26 - 00032768 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DF5CA.tmp
    2015-11-25 17:26 - 2015-11-25 17:26 - 00032768 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DF53B.tmp
    2015-11-25 17:26 - 2015-11-25 17:26 - 00016384 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DF596.tmp
    2015-11-25 17:26 - 2015-11-25 17:26 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF5D4.tmp
    2015-11-25 17:26 - 2015-11-25 17:26 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF5A0.tmp
    2015-11-25 17:26 - 2015-11-25 17:26 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF545.tmp
    2015-11-25 17:26 - 2015-11-25 17:26 - 00000000 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF6891.tmp
    2015-11-25 17:26 - 2015-11-25 17:26 - 00000000 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DF630B.tmp
    2015-12-14 11:21 - 2015-12-14 11:21 - 00032768 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DFFFD7.tmp
    2015-12-14 11:21 - 2015-12-14 11:21 - 00032768 _____ C:\Documents and Settings\direktor\Local Settings\Temp\~DFFEDB.tmp
    2015-12-14 11:21 - 2015-12-14 11:21 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DFFFE2.tmp
    2015-12-14 11:21 - 2015-12-14 11:21 - 00000512 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DFFF11.tmp
    2015-12-14 11:20 - 2015-12-14 11:20 - 00016384 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DFF275.tmp
    2015-12-14 11:20 - 2015-12-14 11:20 - 00016384 ____T C:\Documents and Settings\direktor\Local Settings\Temp\~DFEA65.tmp
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

    Перезагрузите сервер вручную
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  14. #13
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    Сделал
    Смотрю по логих то не нашло то что нужно? я все файлы которые зашифровало удалил, может их востановить?

  15. #14
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    С расшифровкой не поможем
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  16. #15
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    Спасибо за помощь

    Можно Вопрос? что должно было бть в тех файлах темпа? И почему только от одно учетки?

    Нашел вот эти файлы через р-студия, согласно файлу Fixlog.txt,

    C:\Program Files\TUNWPDWWCZ.XKT
    C:\Documents and Settings\direktor\Local Settings\Temp\~DF5CA.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DF53B.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DF596.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DF5D4.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DF5A0.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DF545.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DF6891.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DF630B.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DFFFD7.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DFFFE2.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DFFEDB.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DFFF11.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DFF275.tmp
    C:\Documents and Settings\direktor\Local Settings\Temp\~DFEA65.tmp

    может попробовать вернуть назад и опять проделать это?
    2. Нажмите Файл – Сохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файла – Все файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    Последний раз редактировалось kot488; 17.12.2015 в 18:49.

  17. #16
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Это простой мусор
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  18. #17
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    Цитата Сообщение от thyrex Посмотреть сообщение
    Это простой мусор
    Извини за надоедание, а чего мы тогда его искали?

  19. #18
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,677
    Вес репутации
    2918
    Наша приоритетная задача - зачистка следов вирусов, а расшифровка по мере возможности
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  20. #19
    Junior Member Репутация
    Регистрация
    24.01.2010
    Сообщений
    42
    Вес репутации
    26
    Нашел у себя такой вирус heur backdoor.win32.generic, читаю в инете вроде как шифровальщик и создан был сегодня ночь, хотя никто на машине не работал, все стандартные порты закрыты, на рдп был придуман порт с головы, админские права забраны у всех кроме одной учетки. По авторизации только учетка службы акронис, не ужели в ней вирусня сидит(

    KIS уже час крутиться никак вылечить не может




    А вот это уже в логах kis показало

    Последний раз редактировалось kot488; 21.12.2015 в 10:53.

  21. #20
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    backdoor.win32.generic - открывает удаленный доступ к вашему компьютеру злоумышленнику.

    хотя никто на машине не работал, все стандартные порты закрыты, на рдп был придуман порт с головы, админские права забраны у всех кроме одной учетки
    А Вы пароли от всех учеток меняли после этого случая?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  • Уважаемый(ая) kot488, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 14
      Последнее сообщение: 08.09.2015, 09:50
    2. Ответов: 11
      Последнее сообщение: 30.07.2015, 16:07
    3. Ответов: 3
      Последнее сообщение: 17.06.2015, 22:02
    4. Ответов: 4
      Последнее сообщение: 16.06.2015, 23:11
    5. Ответов: 3
      Последнее сообщение: 16.06.2015, 15:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01625 seconds with 21 queries