yta1952 0 Опубликовано 2 июня, 2019 Share Опубликовано 2 июня, 2019 По почте получил письмо как-бы от судебных приставов. Проявил неосторожность распаковал. Получил вирус и зашифрованные файлы. Убедительная просьба помочь ветеранам 46 ВА ВГК в восстановлении информации. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 2 июня, 2019 Share Опубликовано 2 июня, 2019 Здравствуйте,«Порядок оформления запроса о помощи». Цитата Ссылка на сообщение Поделиться на другие сайты
yta1952 0 Опубликовано 3 июня, 2019 Автор Share Опубликовано 3 июня, 2019 Прошу уточнить мои действия. Вроде что положено для оформления запроса о помощи все сделал. Файлы приложил. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 3 июня, 2019 Share Опубликовано 3 июня, 2019 Файлы приложил.Файлов нет, как вы и сами должны видеть. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
yta1952 0 Опубликовано 4 июня, 2019 Автор Share Опубликовано 4 июня, 2019 (изменено) Вижу что нет. Подскажите как прикрепить файлы. отправляю ссылку на диск https://yadi.sk/d/U-JXE86NQepG8w Вроде получилось. CollectionLog-2019.06.03-01.41.zip CollectionLog-2019.06.03-01.55.zip CollectionLog-2019.06.03-02.16.zip README10.txt Изменено 4 июня, 2019 пользователем yta1952 Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 4 июня, 2019 Share Опубликовано 4 июня, 2019 Здравствуйте,Обращаю ваше внимание, что мы не можем гарантировать удачный исход расшифровки данных.Удалите остатки от антивируса Avast.HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится.- Подготовьте лог AdwCleaner и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
yta1952 0 Опубликовано 5 июня, 2019 Автор Share Опубликовано 5 июня, 2019 Коллеги очень старался. Вроде все сделал. AdwCleanerC00.txt AdwCleanerS00.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 5 июня, 2019 Share Опубликовано 5 июня, 2019 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
yta1952 0 Опубликовано 5 июня, 2019 Автор Share Опубликовано 5 июня, 2019 Выполнено. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 5 июня, 2019 Share Опубликовано 5 июня, 2019 Важно: Удалите остатки от антивируса Avast с помощью Avast Remover. Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Start:: CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%" CreateRestorePoint: CloseProcesses: File: C:\Program Files (x86)\Common Files\ACD Systems\EN\DevDetect.exe CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx File: C:\Windows\SysWOW64\drivers\pfc.sys File: C:\Program Files\Unlocker\UnlockerDriver5.sys U3 aswbdisk; no ImagePath U3 aswblog; no ImagePath Folder: C:\ProgramData\Windows 2019-05-23 21:15 - 2019-05-24 14:39 - 000000000 __SHD C:\Users\Все пользователи\Windows 2019-05-23 21:15 - 2019-05-24 14:39 - 000000000 __SHD C:\ProgramData\Windows 2018-12-02 10:47 - 2018-12-02 10:47 - 000000784 _____ () C:\Users\65058_000\AppData\Local\uBar.lnk File: C:\Windows\System32\wufuc\wufuc64.dll FirewallRules: [{4AA00AC2-DC23-4127-8507-C25CACE913A0}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe No File FirewallRules: [{4E785568-621C-4B1A-BA0D-85005AD398EF}] => (Allow) C:\Program Files (x86)\DriverPack Cloud\cloud.exe No File Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Уточните пожалуйста сами создавали пользователя 65058_000 ? Цитата Ссылка на сообщение Поделиться на другие сайты
yta1952 0 Опубликовано 6 июня, 2019 Автор Share Опубликовано 6 июня, 2019 Коллеги все зашифрованные файлы с ПК удалены, все файлы созданные в момент заражения удалены по возможности. ПК проверен антивирусами неоднократно и все угрозы удалены. Больной спрашивает будем сдавать анализы или будем личиться. Выполнено. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 6 июня, 2019 Share Опубликовано 6 июня, 2019 Необходимо было убедиться, что ничего плохого не осталось.Приложите в архиве zip 2-3 зашифрованных файлов не содержащие конфиденциальную информацию, необходимо для анализа возможности расшифровки силами добровольцев форума.Также можете подать запрос на расшифровку в тех. поддержку Лаборатории Касперского согласно следующей инструкции:https://forum.kasperskyclub.ru/index.php?showtopic=48525 Цитата Ссылка на сообщение Поделиться на другие сайты
yta1952 0 Опубликовано 6 июня, 2019 Автор Share Опубликовано 6 июня, 2019 Коллеги просто небезопасно когда копаются в твоем ПК. Коммерческой лицензии у меня нет. Поэтому я понимаю надо платить. Пишите. 60619.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 6 июня, 2019 Share Опубликовано 6 июня, 2019 Коллеги просто небезопасно когда копаются в твоем ПК. Ну мы ориентируемся на логи, по другому как вы предлагаете, чтобы мы помогли с удалением остатков шифровальщика? Касаемо расшифровки отправил запрос, пожалуйста ожидайте. Как только появится ответ, я напишу. Цитата Ссылка на сообщение Поделиться на другие сайты
yta1952 0 Опубликовано 7 июня, 2019 Автор Share Опубликовано 7 июня, 2019 Я думаю никого не обидел. За машиной сижу давно начинал с 086 но работаю конечно не профессионально. Жду хороших новостей. Самое главное. Спасибо за общение. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.