зашифровано с расширением *sos1506@163.com_* , возможно, Filecoder.NFD

RSS
Прошу помочь Мне в поиске и подборке шифровальщика от вируса присланого мне на почту злоумышленником с целью разживиться. Я сам полу нуб чуток разбираюсь. думал гугл мне в помощь перебрал кучу программ ссылок и антивирус кодировщиков но так ничего и не вышло(
Все фаилы сменили название d5c752c227844accb72727add43a6426.jpg.sos1506@163 формат стал у всех СОМ_70DOZ.
ссылка на пару фаилов через обменик https://dropmefiles.com/oYiAT фаил это было когда то фото квартиры.
Изменено: Тимур Хайрулин - 05.12.2016 07:43:50

Ответы

Закончил проверку антивирусом. отчет программы http://rghost.ru/private/82ltNb5CJ/4c357830d36cddcb3d9c347851e1b210
это
Цитата
Процессы: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2756, , [71e70bd4107ab87e5b2db6b0cf3109f7]
это
Цитата
Файлы: 752
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [71e70bd4107ab87e5b2db6b0cf3109f7],
и это
Цитата
PUP.Optional.APNToolBar.Gen, C:\ProgramData\APN\APN-Stub\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ, , [45135f802e5cec4a7bca47b58d757a86],
оставьте в мбам,
остальное удалите
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
http://rghost.ru/private/7tGt2ltCQ/65e40ebd87c868093932ce39964a1f2f


http://rghost.ru/private/7mcdffQjr/2f221b0f5a6bad388b86411f4441bd48

Проверил авд и фрст. Авд нашел пару каких то фаилов удалил перезагрузил систему,но ничего не изменилось. Программу по теневому скачал но она ничего не показала. Как будто нет ничего там(
кроме addition.txt нужен и втoрой лог frst.txt
http://rghost.ru/private/88RpMMhsX/0d9bd37d116c9cfa3c5dd46bc4156140

второй фаил лог FRST.TXT
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
CHR Extension: (WhatsWeb) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cebcbiddpikadcfodbjihffmddoohdma [2015-04-05]
CHR Extension: (AdBlock) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-11-14]
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=825324a2ba82845128eb92f2d5b7ef67&text= <==== ATTENTION
CHR Extension: (HTML5 location provider) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2012-08-03]
CHR Extension: (CinemaPlus-3.2cV06.07) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-07-07]
CHR Extension: (Please enter your password) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\bfbmjmiodbnnpllbbbfblcplfjjepjdn [2015-04-02]
CHR Extension: (Angry Birds) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj [2015-04-02]
CHR Extension: (HTML5 location provider) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2015-04-02]
CHR Extension: (CinemaPlus-3.2cV06.07) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-07-07]
CHR Extension: (Amazon 1Button App for Chrome) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\pbjikboenpfhbbejgkoklgkhjpfogcam [2015-04-02]
CHR HKU\S-1-5-21-970964006-845550971-1886412459-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\0A6A~1\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [Not Found]
EmptyTemp:
Reboot:
+
вот эти файлики скопируйте в архив с паролем infected и вышлите в почту safety@chklst.ru

Цитата
2014-10-13 15:54 - 2014-10-13 15:54 - 3428386 _____ () C:\ProgramData\SECDD3F.tmp
2015-07-03 16:01 - 2015-07-03 16:00 - 0002069 _____ () C:\ProgramData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ
http://rghost.ru/private/8NbFPQqQp/ffada7ede40626407d5ad21ebc7f6ce9 отчет программы.
на почту выслал те два фаила которые просили.
Изменено: Тимур Хайрулин - 05.12.2016 07:33:20
да, получил.
один из них чист, вероятно не относится к шифратору, второй -
это текстовое сообщение от злоумышленников.
https://www.virustotal.com/ru/file/aa432fce3091ae1bd0660932b6dd04cb80a72f040c6d43bf­eb0b9c188ea8823f/analysis/1436532808/

по расшифровке: при наличие лицензии на наш антивирус, напишите в техподдержку support@esetnod32.ru
А если нет у меня лицензий на Ваш антивирус? У меня есть сам Вирус который прислали на почту и есть зараженые фаилы куча)
Читают тему (гостей: 1)