Pbyalsky 0 Опубликовано 20 апреля, 2018 Share Опубликовано 20 апреля, 2018 Доброе время суток. Осталась последняя надежда на вас! Поймал вирус шифровальщик, который зашифровал мне практически ВСЕ файлы , кроме системных ( виндовс 7 частично, но подымается) Теперь они имеют вид ИмяФайла.id-8881EF49.[becky.cely2@aol.com].arrow Symantec_Endpoint_Protection_SBE_12.1_Win64 пропустил его. Я удалил шифровальщик вручную уже на последней его стадии Отсканировал комп с помощью Malwarebytes и Касперски - они ничего не нашли. Пользовался вашей утилитой RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие) id: 10556 - она мой вирус не знает. У меня есть так-же несколько файлов до шифрованияния , но они больше 5 мб Прилагаю логи. Надеюсь на помощь! Павел CollectionLog-2018.04.21-01.44.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 21 апреля, 2018 Share Опубликовано 21 апреля, 2018 Здравствуйте, AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kearnvdfyt','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); ExecuteRepair(2); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Pbyalsky 0 Опубликовано 21 апреля, 2018 Автор Share Опубликовано 21 апреля, 2018 Надеюсь , что все сделал правильно...Лог прилагаю AdwCleanerC00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 апреля, 2018 Share Опубликовано 22 апреля, 2018 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
Pbyalsky 0 Опубликовано 22 апреля, 2018 Автор Share Опубликовано 22 апреля, 2018 (изменено) Тут у Вас на ссылке AdwCleaner немного устаревшая версия(5.004) и интерфейс сильно отличается от текущей (7.01) она теперь называется Malwarebytes AdwCleaner . Я правильно понял или ошибся? А так все сделал , как Вы написали (удалил все из карантина) и прилагаю лог. AdwCleanerS02.txt Изменено 22 апреля, 2018 пользователем Pbyalsky Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 22 апреля, 2018 Share Опубликовано 22 апреля, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Тут у Вас на ссылке AdwCleaner немного устаревшая версия(5.004) и интерфейс сильно отличается от текущей (7.01) она теперь называется Malwarebytes AdwCleaner . Я правильно понял или ошибся? да версия изменилась (алгоритм удаления осталься тот же), все правильно сделали. Цитата Ссылка на сообщение Поделиться на другие сайты
Pbyalsky 0 Опубликовано 22 апреля, 2018 Автор Share Опубликовано 22 апреля, 2018 (изменено) Все отработало, но Explorer ругался , что файл FRST64.exe - is not commonly downloaded and could HARM your computer а антивирус Symantec_Endpoint_Protection спрашивал разрешения на запуск FRST.txt Addition.txt Изменено 22 апреля, 2018 пользователем Pbyalsky Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 23 апреля, 2018 Share Опубликовано 23 апреля, 2018 Вам знакома, сами устанавливали? () C:\Program Files (x86)\No-IP\ducservice.exe Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: File: C:\Windows\Explorer.exe HKU\S-1-5-21-56739442-2731816912-2817828468-1000\...\Run: [AdobeBridge] => [X] File: C:\Program Files (x86)\BezeqCloud\dokance.sys Task: {8E96327B-C337-4247-9C47-AEA63F28B341} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {E65D77FE-C3D2-4849-81C9-8E9747898D3C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION MSCONFIG\startupreg: kearnvdfyt => explorer "http://fikrov.ru/?utm_source=uoua03&utm_content=9903289f54c7d1f1be065d5e64b0c701" MSCONFIG\startupreg: kometaup => C:\Users\Pavel\AppData\Local\Kometa\kometaup.exe --windows-start File: C:\Users\Pavel\AppData\Roaming\cubby\cubby.exe MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Pbyalsky 0 Опубликовано 23 апреля, 2018 Автор Share Опубликовано 23 апреля, 2018 (изменено) Вам знакома, сами устанавливали? () C:\Program Files (x86)\No-IP\ducservice.exe Да. Давно. Толком и не пользовался. Она через раз подключалась. Помоему это было что-то типа RemoteDesktop Fixlog.txt Изменено 23 апреля, 2018 пользователем Pbyalsky Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 24 апреля, 2018 Share Опубликовано 24 апреля, 2018 Пробуйте сделать запрос согласно инструкции:https://forum.kasperskyclub.ru/index.php?showtopic=48525 Цитата Ссылка на сообщение Поделиться на другие сайты
Pbyalsky 0 Опубликовано 24 апреля, 2018 Автор Share Опубликовано 24 апреля, 2018 (изменено) Во первых огромное спасибо за то, что возились с моей проблемой. Как я понимаю хвостов вируса (ов) у меня уже нет. И теневых копий дисков тоже. Есть ли надежда увидеть свои файлы в ближайшем будущем ? Стоит ли установить виндовс по-новой (кроме системы ни одна программа не работает -ведь все же файлы зашифрованы) ? И если можно в кратце что Вы делали с помощью всех этих программ и с какова была цель. А насчёт запроса в https://forum.kasper...showtopic=48525 - не знаю. У меня ведь не был ни куплен ни установлен антивирус Касперский. Изменено 24 апреля, 2018 пользователем Pbyalsky Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 24 апреля, 2018 Share Опубликовано 24 апреля, 2018 Есть ли надежда увидеть свои файлы в ближайшем будущем ?Ничего гарантировать не можем, вы отслеживайте форумы, если увидете, что кому-то помогли со схожим шифровальщиком. Стоит ли установить виндовс по-новой (кроме системы ни одна программа не работает -ведь все же файлы зашифрованы) ?Это уже как решите, возможно шифровальщик зашифровал и необходимые библиотеки . И если можно в кратце что Вы делали с помощью всех этих программ и с какова была цель.Убедиться, что нет активной угрозы и в случае некоторых видом шифровальщиков (иных) возможность нашими силами расшифровки. А насчёт запроса в https://forum.kasper...showtopic=48525 - не знаю. У меня ведь не был ни куплен ни установлен антивирус Касперский. Пробуйте найти знакомых или друзей у кого куплены продукты KasperskyLab. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.