Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте. На компьютер попал шифровальщик veracrypt@foxmail.com, зашифровал все файлы и программы, пожалуйста помогите с расшифровкой. Логи прилагаю 

CollectionLog-2019.05.27-08.27.zip

Изменено пользователем novosadov.e
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

С расшифровкой скорее всего не поможем.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [1Vera.exe] = C:\Windows\System32\1Vera.exe
O4 - HKLM\..\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Egor\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\alert_removal.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\1Vera.exe','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Windows\System32\1Vera.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Info.hta','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

 

Здравствуйте,

 

С расшифровкой скорее всего не поможем.

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [1Vera.exe] = C:\Windows\System32\1Vera.exe
O4 - HKLM\..\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Egor\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\alert_removal.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\1Vera.exe','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Windows\System32\1Vera.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Info.hta','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

FRST.txt

Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
    CreateRestorePoint:
    HKLM\...\Run: [1Vera.exe] => C:\Windows\System32\1Vera.exe [94720 2019-05-27] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13928 2019-05-27] () [File not signed]
    HKLM\...\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] => C:\Users\Egor\AppData\Roaming\Info.hta [13928 2019-05-27] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe [2019-05-27] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-05-27] () [File not signed]
    Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe [2019-05-27] () [File not signed]
    Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-05-27] () [File not signed]
    File: C:\Windows\alert_removal.exe
    U3 ar7luw8u; no ImagePath
    2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ C:\Windows\system32\Info.hta
    2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ C:\Users\Egor\AppData\Roaming\Info.hta
    2019-05-26 14:57 - 2019-05-27 09:01 - 000000176 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-05-26 14:57 - 2019-05-27 09:01 - 000000176 _____ C:\FILES ENCRYPTED.txt
    File: C:\Users\Egor\AppData\Roaming\1Vera.exe
    Zip: C:\Users\Egor\AppData\Roaming\1Vera.exe
    2019-05-26 14:48 - 2019-05-27 08:52 - 000094720 _____ C:\Users\Egor\AppData\Roaming\1Vera.exe
    2019-05-26 12:28 - 2019-05-27 12:29 - 000094720 _____ C:\Windows\system32\1Vera.exe
    2019-05-26 13:14 - 2017-11-26 13:39 - 000000000 ____D C:\Users\Novosadov\AppData\Roaming\DRPSu
    2019-05-26 12:53 - 2019-04-21 18:10 - 000000000 ____D C:\Users\Все пользователи\mia735E.tmp
    2019-05-26 12:53 - 2019-04-21 18:10 - 000000000 ____D C:\ProgramData\mia735E.tmp
    2019-05-26 14:48 - 2019-05-27 08:52 - 000094720 _____ () C:\Users\Egor\AppData\Roaming\1Vera.exe
    2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ () C:\Users\Egor\AppData\Roaming\Info.hta
    FirewallRules: [{534ADF4A-ACC1-4059-B503-64B6FA1B9CE3}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{0A0D4823-3449-4055-9EDA-87A2C873E204}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{B22CEA0B-EC82-41B2-8073-54BF1118451F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{4FE657A1-71A3-43A8-8E07-E4723E729411}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{2A55702D-4741-4422-8A38-4B11CD160369}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{2110E95D-C9EF-4DA7-82AB-88DC344C7308}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{8FB01CFE-06B3-44B7-8CA4-6D3162382CF5}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{32421CB7-F7E3-4EB6-B54F-C1591DC8307B}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{5C4DC9B7-700D-4E8B-97D0-80A9EE523D19}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe No File
    FirewallRules: [{0EE2AA30-CAD9-444E-B681-51B8ADD8C7EB}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe No File
    FirewallRules: [{3E664A02-D99C-493E-9EC2-D51BA8E7E485}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{BA164CB2-9710-4E33-BDCE-3C07978C240A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{869EE8B4-DA8D-4F4C-BE89-FA00C21ABCAA}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{B3A70AD7-4499-4735-9CF9-13F584E0CB81}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{D1FE5949-E5C4-4332-9A2A-BC066EF43AF5}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{58193E5C-6EDF-45B1-BDBF-074014B196E7}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{17CF4EB1-6F95-412B-88AE-F8A417A67CA4}] => (Allow) C:\Users\Egor\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
    FirewallRules: [{45700CBC-468D-49A1-8C5B-B386F7BADD2B}] => (Allow) C:\Program Files (x86)\InfoTeCS\ViPNet Client\Itcsnatproxy.Exe No File
    FirewallRules: [{75D90D81-58C9-4949-9D58-E395E5FD5D74}] => (Allow) C:\Program Files (x86)\InfoTeCS\ViPNet Client\Monitor.exe No File
    FirewallRules: [{3FB65231-7710-4B52-BD67-79C2928A165D}] => (Allow) C:\Program Files\Firebird\Firebird_3_0\firebird.exe No File
    FirewallRules: [{0C03CDBA-8DDA-413A-B6F5-4FC8CEDEBBC5}] => (Allow) C:\Program Files\Firebird\Firebird_3_0\firebird.exe No File
    FirewallRules: [{E700EFF3-FBF5-4AC3-A1C2-901660F7A519}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{366D29FD-493D-41F8-9FD7-B968095060E4}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{8273A051-640C-4A16-82BD-C3D913665C81}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
    FirewallRules: [{D58274D0-548E-4586-A442-AC269A2584FA}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
    FirewallRules: [{F1E19088-1711-4EC2-B0F9-653E2B75E5DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
    FirewallRules: [{21CB181A-024E-4DE9-907D-65A57951B7E3}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
    FirewallRules: [{4CC43B97-DA17-47CD-A0D4-C9560B8FD5DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
    FirewallRules: [{98507993-6AEE-488B-A834-687D742C4B59}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
    FirewallRules: [{D8A3AB48-1A19-449D-A6C4-A51788C0C348}] => (Allow) C:\Windows\Temp\SmartFix\wget.exe No File
    FirewallRules: [{36996963-7CA9-463A-A7F0-9020EE6C8FB9}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
    FirewallRules: [{A4CC2098-C4D7-41D8-A796-FA1AAD6695D7}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
    FirewallRules: [{AE3724D7-D62B-4DDB-A088-1F2A292EBD7F}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
    FirewallRules: [{9F543B0C-4BBB-423B-801B-194327EC4C58}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
    FirewallRules: [{87A42FC3-2902-420A-AEF1-047F6D8966DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
    FirewallRules: [{62527871-EC32-40B4-AE10-6889370D5AF3}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
    FirewallRules: [{2A1D88D3-6260-4A0E-9C48-08AB9E1F49F0}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
    FirewallRules: [{228EBB14-1E40-4218-8B8D-4E2F51D0D24A}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
    FirewallRules: [{A00248A8-9060-4986-8EAA-41580AE731CE}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
    FirewallRules: [{2F345BA4-CD8A-4EF3-9AC4-4E2C800C1F36}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
    FirewallRules: [{1C1A2C11-CE68-4634-B244-6630E72E7D6A}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe No File
    FirewallRules: [{CB2C6F93-7909-4088-8C3E-D9E26BDC241D}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe No File
    FirewallRules: [{438D2DFA-E29F-4355-8A80-2850CCB3D62D}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.32.922\AlibabaProtect.exe No File
    FirewallRules: [{733AE15F-F8B1-4D4F-8F17-F4B3CC2E0844}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.32.922\AlibabaProtect.exe No File
    FirewallRules: [{F618D205-46A4-40AB-8267-C6E7765EA8D2}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
    FirewallRules: [{9F98EB0D-52BB-4078-8013-FC790D376283}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
    FirewallRules: [{001E38A2-BC83-468A-864B-F5EC929FC34B}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
    FirewallRules: [{B7D13E9B-7298-4720-8A39-6EC06DBEBA8F}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
    FirewallRules: [{AECF3D96-FA50-4D01-B4D3-C2840C926EEB}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
    FirewallRules: [{2665403C-93FE-4D7F-A8D6-297A23C30639}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
    FirewallRules: [{6CDD35D2-190E-4F3F-A6CA-4C01CB582ED8}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite 2018\Programs64\CorelDrw.exe No File
    FirewallRules: [{8268C379-FB23-4B26-8DC3-C64B9F8FFC16}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite 2018\Programs64\CorelPP.exe No File
    FirewallRules: [{13F87F44-9029-44A7-83BB-AC2529EFB789}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
    FirewallRules: [{0F007303-E61E-4698-B2BB-A40A09F30476}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
    FirewallRules: [{0DEFE042-9128-48AB-B582-B6C5DD9AFE70}] => (Allow) C:\Program Files\Opera\58.0.3135.127\opera.exe No File
    FirewallRules: [{EC6935C8-78DE-4C2C-9008-1792581B05B6}] => (Allow) C:\Program Files\Opera\58.0.3135.132\opera.exe No File
    FirewallRules: [{A8DF5591-6D81-4E46-A334-318951B7463A}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
    FirewallRules: [{64F35D3B-D2B7-4DB0-9F99-29EF7DD63757}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
    FirewallRules: [{31BE1896-058F-42BA-ABAF-08946B5034A3}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
    FirewallRules: [{A36C2016-CC5F-4CE2-A491-1511B7AF0436}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
    FirewallRules: [{E041DBAD-B4B6-4DCC-8693-362A50FDAA68}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{86928520-4A6E-4DC1-A80D-16E715CF6CB7}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{BCBD792B-A126-4BD8-BE1D-5713E21A5078}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{19379C63-6855-4DA8-B350-0410B93536BC}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{9B6E3975-9173-4505-9CD7-0982984720FE}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
    FirewallRules: [{F5B7F693-D165-4AAA-956A-B6753C75805D}] => (Allow) C:\Users\Egor\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
    Reboot:
    End::
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке данную форму

 

Обратите внимание на следующие события:

Error: (05/27/2019 12:30:27 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:26 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:26 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:25 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:25 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.
Ссылка на сообщение
Поделиться на другие сайты

Сделано. Я правильно понимаю что все эти мероприятия направлены на удаление вируса? Или к дешифровке это тоже относится? 

EGOR_2019-05-28_15-11-58_v4.1.5.7z

Ссылка на сообщение
Поделиться на другие сайты

Сделано. Я правильно понимаю что все эти мероприятия направлены на удаление вируса?

Да, чтобы шифровальшик не продолжал шифровать файлы.

 

Или к дешифровке это тоже относится?

К сожалению, на данном этапе мы не можем помочь с расшифровкой, это касается только расшифровка силами добровольцев на форуме. Но вам лучше написать еще в тех. поддержку лаборатории Касперского согласно следующей инструкции:

 

https://forum.kasperskyclub.ru/index.php?showtopic=48525

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • tized-NSK
      От tized-NSK
      Здравствуйте, у меня точно такаяже проблема с шифрованием файлов формат rty не подскажете как их расшифровать?  ShadeDecryptor не помог ,Kaspersky XoristDecryptor тоже не помог
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Александр Нефёдов
      От Александр Нефёдов
      Добрый день.
      Столкнулся с проблемой блокировки загрузки ОС Windows Server 2016, и других.
      За ночь заблочило десять машин, которые не выключались.
      Пример блокировки на скрине.
      Диски не читаются, типа raw формат, поэтому как таковых зашифрованных файлов нет, вероятно зашифрован весь диск.
      вариант из статьи(https://id-ransomware.blogspot.com/2023/04/dchelp-ransomware.html) с AOMEI не помог.
       
      За любые идеи которые помогу восстановить информацию буду благодарен .

    • AlexDreyk
      От AlexDreyk
      Добрый день! Просьба помочь с расшифровкой
      Addition.txt FRST.txt Зашифрованные файлы.zip
    • dsever
      От dsever
      Сегодня после выходных обнаружили проблему. Два сервера - все данные зашифрованы.  основная проблема с 1С файлы зашифрованы + бэкапы тоже. DrWEB пишет, что вирус попал по RDP, "Файл шифровальщика находится по пути
      C:\users\администратор.win-8anssg9mkch\appdata\local\7af1be1c-1606-8166-99e6-80b4a9786b07\BABKAALYOEBALO.exe". Так же вирус зашифровал все расшаренные файлы на других серверах, но до баз SQL не добрался.
       
      BABKAALYOEBALO_DECRYPTION.txt
    • vyz-project
      От vyz-project
      На рабочем компьютере 19.11.23 начиная примерно в 22:30 (судя по дате изменения) были зашифрованы все файлы. Теперь они все с расширением .id[705C9723-3351].[blankqq@tuta.io].elpy
      На данный момент зараженный компьютер изолирован. Но он был в локальной сети до этого момента.
      Логи и файлы приложил.
      pdf_files.7z Addition.txt FRST.txt
×
×
  • Создать...