Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Поймал Троян-шифровальщик "Твои файлы зашифрованы...." (http://forum.oszone.net/showthread.php?t=310363)

Vp936 14-01-2016 14:24 2594807
Поймал Троян-шифровальщик "Твои файлы зашифрованы...."
 
Вложений: 1
Здравствуйте!
Помогите удалить вирус и расшифровать файлы.
Поймал троян-шифровальщик, который переименовал все файлы. На рабочем столе надпись:
Твои файлы зашифрованы , если хочешь все вернуть отправь 1 зашифрованный файл на эту почту:
gruzinrussian@aol.com
Внимание!!! у вас есть 1 неделя чтобы написать мне на почту, по происшествии этого срока расшифровка станет не возможна!!!
Логи прилагаю.

thyrex 16-01-2016 13:30 2595714
Интересно, где вообще такое старье еще можно подцепить...

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Vp936 19-01-2016 15:17 2596839
Вложений: 1
Выполнено.
1. Логи в архиве в приложении.
2. Ранее выполнил чистку системы по указаниям лаборатории ESET http://forum.esetnod32.ru/forum35/topic12871/, но помочь с расшифровкой файлов не могут (Файлы зашифрованы с помощью Win32/Filecoder.EQ, расшифровка без знания ключа шифрования, который хранится у злоумышленников, может занять неопределённое время).

thyrex 29-01-2016 21:15 2600535
Хм, оказывается это свежатинка с такой почтой...

Вложение к письму, после запуска которого все зашифровалось, имеется в наличии?

1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
2016-01-14 11:35 - 2016-01-14 11:44 - 00927422 _____ C:\Program Files (x86)\desk.bmp
2016-01-14 11:35 - 2016-01-14 11:35 - 00000158 _____ C:\Program Files (x86)\ZABBC.bat
2016-01-13 18:00 - 2016-01-14 11:35 - 00000081 _____ C:\Program Files (x86)\NIQEJDULVO.KOG
2016-01-14 11:35 - 2016-01-14 11:44 - 0050852 _____ () C:\Program Files (x86)\desk.jpg
Task: {643C5246-312F-4D83-9559-BDFC23109057} - \Microsoft\Windows\Servicing\StartComponentCleanup -> No File <==== ATTENTION
Task: {B5C365C7-8B39-4475-8864-8C545CBC656B} - \Microsoft\Office\Office 15 Subscription Heartbeat -> No File <==== ATTENTION
Task: {D852DCEB-AA58-4B62-A247-E6A4F6C58D1D} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION
Task: {E2AB1908-DE04-49E0-8D25-376927DB9F0E} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.


Время: 03:55.

Время: 03:55.
© OSzone.net 2001-