Junior Member
Вес репутации
32
Шифровальщик *.cbf.
Добрый вечер!
Точнее уже не добрый! Словили шифровальщика, аналогичному в теме Словили шифровальщика. Все документы с расширением *.cbf
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kos_43 , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Вложения
Не вижу ни одного признака шифрованного файла в логах
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
Task: {4E3EAE93-F902-420F-88A4-DED6E7487B97} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
C:\Program Files (x86)\MyPC Backup
HKLM-x32\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX
HKU\S-1-5-21-2635311791-2667800279-86612714-1283\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2635311791-2667800279-86612714-1283 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=ds&ts=1422191017&from=wpc&uid=HitachiXHDS721010CLA332_JP6930HD2GJ75F2GJ75FX&q={searchTerms}
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Сообщение от
thyrex
Не вижу ни одного признака шифрованного файла в логах
Может всё потому, что они лежат не на диске С ?
Лог FIX
Вложения
На диске С тоже должны быть характерные признаки в виде идентификационного файла в папке Program Files (x86)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Была папка "1С" с файлами, которая и появилась после запуска "шифровальщика". Антивирусник ее грохнул. Может и я что-нибудь левое удалил оттуда.
Сейчас как быть и что делать?
А сам файл, пришедший по почте, сохранился?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Есть ссылка на него! Прям в открытом виде эту ссылку сюда кинуть?
Ссылку мне в личные сообщения
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Получил.
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Что ж... и на этом спасибо!