Перейти к содержимому


Фотография
- - - - -

Зашифрованы все файлы veracrypt@foxmail.com

veracrypt шифровальщик

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 11

#1 OFF   novosadov.e

novosadov.e

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 27 Май 2019 - 02:29

Здравствуйте. На компьютер попал шифровальщик veracrypt@foxmail.com, зашифровал все файлы и программы, пожалуйста помогите с расшифровкой. Логи прилагаю 

Прикрепленные файлы


Сообщение отредактировал novosadov.e: 27 Май 2019 - 02:30

  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 904

Отправлено 27 Май 2019 - 05:54

Здравствуйте,

С расшифровкой скорее всего не поможем.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [1Vera.exe] = C:\Windows\System32\1Vera.exe
O4 - HKLM\..\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Egor\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\alert_removal.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\1Vera.exe','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Windows\System32\1Vera.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Info.hta','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • 0

#3 OFF   novosadov.e

novosadov.e

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 27 Май 2019 - 06:44

 

Здравствуйте,

С расшифровкой скорее всего не поможем.

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta
O4 - HKLM\..\Run: [1Vera.exe] = C:\Windows\System32\1Vera.exe
O4 - HKLM\..\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] = C:\Windows\system32\mshta.exe "C:\Users\Egor\AppData\Roaming\Info.hta"
O4 - HKLM\..\Run: [C:\Windows\System32\Info.hta] = C:\Windows\system32\mshta.exe "C:\Windows\System32\Info.hta"
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe    ->    (PE EXE)
O4 - User Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\alert_removal.exe','');
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Info.hta','');
 QuarantineFile('C:\Windows\System32\Info.hta','');
 QuarantineFile('C:\Windows\System32\1Vera.exe','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta','64');
 DeleteFile('C:\Windows\System32\1Vera.exe','64');
 DeleteFile('C:\Windows\System32\Info.hta','64');
 DeleteFile('C:\Users\Egor\AppData\Roaming\Info.hta','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   114,05К   скачиваний 2
  • Прикрепленный файл  Addition.txt   64,69К   скачиваний 2

  • 0

#4 OFF   novosadov.e

novosadov.e

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 27 Май 2019 - 09:08

Все сделал как вы сказали, когда ждать вердикта? 


  • 0

#5 OFF   mike 1

mike 1

    Мурзик

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 13 476

Отправлено 27 Май 2019 - 09:22

Когда у консультанта появится свободное время от основных дел.
  • 0
  • Спасибо x 1
  • Показать

#6 OFF   novosadov.e

novosadov.e

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 27 Май 2019 - 12:56

Спасибо, буду ждать


  • 0

#7 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 904

Отправлено 27 Май 2019 - 13:00

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
    CreateRestorePoint:
    HKLM\...\Run: [1Vera.exe] => C:\Windows\System32\1Vera.exe [94720 2019-05-27] () [File not signed]
    HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13928 2019-05-27] () [File not signed]
    HKLM\...\Run: [C:\Users\Egor\AppData\Roaming\Info.hta] => C:\Users\Egor\AppData\Roaming\Info.hta [13928 2019-05-27] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe [2019-05-27] () [File not signed]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-05-27] () [File not signed]
    Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1Vera.exe [2019-05-27] () [File not signed]
    Startup: C:\Users\Egor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-05-27] () [File not signed]
    File: C:\Windows\alert_removal.exe
    U3 ar7luw8u; no ImagePath
    2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ C:\Windows\system32\Info.hta
    2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ C:\Users\Egor\AppData\Roaming\Info.hta
    2019-05-26 14:57 - 2019-05-27 09:01 - 000000176 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-05-26 14:57 - 2019-05-27 09:01 - 000000176 _____ C:\FILES ENCRYPTED.txt
    File: C:\Users\Egor\AppData\Roaming\1Vera.exe
    Zip: C:\Users\Egor\AppData\Roaming\1Vera.exe
    2019-05-26 14:48 - 2019-05-27 08:52 - 000094720 _____ C:\Users\Egor\AppData\Roaming\1Vera.exe
    2019-05-26 12:28 - 2019-05-27 12:29 - 000094720 _____ C:\Windows\system32\1Vera.exe
    2019-05-26 13:14 - 2017-11-26 13:39 - 000000000 ____D C:\Users\Novosadov\AppData\Roaming\DRPSu
    2019-05-26 12:53 - 2019-04-21 18:10 - 000000000 ____D C:\Users\Все пользователи\mia735E.tmp
    2019-05-26 12:53 - 2019-04-21 18:10 - 000000000 ____D C:\ProgramData\mia735E.tmp
    2019-05-26 14:48 - 2019-05-27 08:52 - 000094720 _____ () C:\Users\Egor\AppData\Roaming\1Vera.exe
    2019-05-26 14:57 - 2019-05-27 09:01 - 000013928 _____ () C:\Users\Egor\AppData\Roaming\Info.hta
    FirewallRules: [{534ADF4A-ACC1-4059-B503-64B6FA1B9CE3}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{0A0D4823-3449-4055-9EDA-87A2C873E204}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{B22CEA0B-EC82-41B2-8073-54BF1118451F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{4FE657A1-71A3-43A8-8E07-E4723E729411}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{2A55702D-4741-4422-8A38-4B11CD160369}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{2110E95D-C9EF-4DA7-82AB-88DC344C7308}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{8FB01CFE-06B3-44B7-8CA4-6D3162382CF5}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{32421CB7-F7E3-4EB6-B54F-C1591DC8307B}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{5C4DC9B7-700D-4E8B-97D0-80A9EE523D19}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe No File
    FirewallRules: [{0EE2AA30-CAD9-444E-B681-51B8ADD8C7EB}] => (Allow) C:\Program Files (x86)\uTorrent\uTorrent.exe No File
    FirewallRules: [{3E664A02-D99C-493E-9EC2-D51BA8E7E485}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{BA164CB2-9710-4E33-BDCE-3C07978C240A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{869EE8B4-DA8D-4F4C-BE89-FA00C21ABCAA}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{B3A70AD7-4499-4735-9CF9-13F584E0CB81}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{D1FE5949-E5C4-4332-9A2A-BC066EF43AF5}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{58193E5C-6EDF-45B1-BDBF-074014B196E7}] => (Allow) C:\Program Files (x86)\AliWangWang\AliIM.exe No File
    FirewallRules: [{17CF4EB1-6F95-412B-88AE-F8A417A67CA4}] => (Allow) C:\Users\Egor\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
    FirewallRules: [{45700CBC-468D-49A1-8C5B-B386F7BADD2B}] => (Allow) C:\Program Files (x86)\InfoTeCS\ViPNet Client\Itcsnatproxy.Exe No File
    FirewallRules: [{75D90D81-58C9-4949-9D58-E395E5FD5D74}] => (Allow) C:\Program Files (x86)\InfoTeCS\ViPNet Client\Monitor.exe No File
    FirewallRules: [{3FB65231-7710-4B52-BD67-79C2928A165D}] => (Allow) C:\Program Files\Firebird\Firebird_3_0\firebird.exe No File
    FirewallRules: [{0C03CDBA-8DDA-413A-B6F5-4FC8CEDEBBC5}] => (Allow) C:\Program Files\Firebird\Firebird_3_0\firebird.exe No File
    FirewallRules: [{E700EFF3-FBF5-4AC3-A1C2-901660F7A519}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{366D29FD-493D-41F8-9FD7-B968095060E4}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe No File
    FirewallRules: [{8273A051-640C-4A16-82BD-C3D913665C81}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
    FirewallRules: [{D58274D0-548E-4586-A442-AC269A2584FA}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
    FirewallRules: [{F1E19088-1711-4EC2-B0F9-653E2B75E5DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
    FirewallRules: [{21CB181A-024E-4DE9-907D-65A57951B7E3}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.839\AlibabaProtect.exe No File
    FirewallRules: [{4CC43B97-DA17-47CD-A0D4-C9560B8FD5DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
    FirewallRules: [{98507993-6AEE-488B-A834-687D742C4B59}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
    FirewallRules: [{D8A3AB48-1A19-449D-A6C4-A51788C0C348}] => (Allow) C:\Windows\Temp\SmartFix\wget.exe No File
    FirewallRules: [{36996963-7CA9-463A-A7F0-9020EE6C8FB9}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
    FirewallRules: [{A4CC2098-C4D7-41D8-A796-FA1AAD6695D7}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.20.850\AlibabaProtect.exe No File
    FirewallRules: [{AE3724D7-D62B-4DDB-A088-1F2A292EBD7F}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
    FirewallRules: [{9F543B0C-4BBB-423B-801B-194327EC4C58}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
    FirewallRules: [{87A42FC3-2902-420A-AEF1-047F6D8966DE}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
    FirewallRules: [{62527871-EC32-40B4-AE10-6889370D5AF3}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.23.863\AlibabaProtect.exe No File
    FirewallRules: [{2A1D88D3-6260-4A0E-9C48-08AB9E1F49F0}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
    FirewallRules: [{228EBB14-1E40-4218-8B8D-4E2F51D0D24A}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
    FirewallRules: [{A00248A8-9060-4986-8EAA-41580AE731CE}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
    FirewallRules: [{2F345BA4-CD8A-4EF3-9AC4-4E2C800C1F36}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe No File
    FirewallRules: [{1C1A2C11-CE68-4634-B244-6630E72E7D6A}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe No File
    FirewallRules: [{CB2C6F93-7909-4088-8C3E-D9E26BDC241D}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe No File
    FirewallRules: [{438D2DFA-E29F-4355-8A80-2850CCB3D62D}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.32.922\AlibabaProtect.exe No File
    FirewallRules: [{733AE15F-F8B1-4D4F-8F17-F4B3CC2E0844}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.32.922\AlibabaProtect.exe No File
    FirewallRules: [{F618D205-46A4-40AB-8267-C6E7765EA8D2}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
    FirewallRules: [{9F98EB0D-52BB-4078-8013-FC790D376283}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
    FirewallRules: [{001E38A2-BC83-468A-864B-F5EC929FC34B}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
    FirewallRules: [{B7D13E9B-7298-4720-8A39-6EC06DBEBA8F}] => (Allow) C:\Users\Egor\Desktop\AnyDesk.exe No File
    FirewallRules: [{AECF3D96-FA50-4D01-B4D3-C2840C926EEB}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
    FirewallRules: [{2665403C-93FE-4D7F-A8D6-297A23C30639}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
    FirewallRules: [{6CDD35D2-190E-4F3F-A6CA-4C01CB582ED8}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite 2018\Programs64\CorelDrw.exe No File
    FirewallRules: [{8268C379-FB23-4B26-8DC3-C64B9F8FFC16}] => (Block) c:\Program Files\Corel\CorelDRAW Graphics Suite 2018\Programs64\CorelPP.exe No File
    FirewallRules: [{13F87F44-9029-44A7-83BB-AC2529EFB789}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
    FirewallRules: [{0F007303-E61E-4698-B2BB-A40A09F30476}] => (Allow) C:\Program Files (x86)\AlibabaProtect\1.0.35.934\AlibabaProtect.exe No File
    FirewallRules: [{0DEFE042-9128-48AB-B582-B6C5DD9AFE70}] => (Allow) C:\Program Files\Opera\58.0.3135.127\opera.exe No File
    FirewallRules: [{EC6935C8-78DE-4C2C-9008-1792581B05B6}] => (Allow) C:\Program Files\Opera\58.0.3135.132\opera.exe No File
    FirewallRules: [{A8DF5591-6D81-4E46-A334-318951B7463A}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
    FirewallRules: [{64F35D3B-D2B7-4DB0-9F99-29EF7DD63757}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
    FirewallRules: [{31BE1896-058F-42BA-ABAF-08946B5034A3}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
    FirewallRules: [{A36C2016-CC5F-4CE2-A491-1511B7AF0436}] => (Allow) C:\Program Files (x86)\VMware\VMware Horizon View Client\x64\vmware-remotemks.exe No File
    FirewallRules: [{E041DBAD-B4B6-4DCC-8693-362A50FDAA68}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{86928520-4A6E-4DC1-A80D-16E715CF6CB7}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe No File
    FirewallRules: [{BCBD792B-A126-4BD8-BE1D-5713E21A5078}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{19379C63-6855-4DA8-B350-0410B93536BC}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe No File
    FirewallRules: [{9B6E3975-9173-4505-9CD7-0982984720FE}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe No File
    FirewallRules: [{F5B7F693-D165-4AAA-956A-B6753C75805D}] => (Allow) C:\Users\Egor\AppData\Local\Yandex\YandexBrowser\Application\browser.exe No File
    Reboot:
    End::
    
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке данную форму

Обратите внимание на следующие события:
Error: (05/27/2019 12:30:27 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:26 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:26 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:25 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

Error: (05/27/2019 12:30:25 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk1\DR1.

  • 0

#8 OFF   novosadov.e

novosadov.e

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 27 Май 2019 - 14:29

Все сделано

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   24,27К   скачиваний 2

  • 0

#9 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 904

Отправлено 28 Май 2019 - 00:24

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
  • 0

#10 OFF   novosadov.e

novosadov.e

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 28 Май 2019 - 09:32

Сделано. Я правильно понимаю что все эти мероприятия направлены на удаление вируса? Или к дешифровке это тоже относится? 

Прикрепленные файлы


  • 0

#11 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 904

Отправлено 28 Май 2019 - 12:59

Сделано. Я правильно понимаю что все эти мероприятия направлены на удаление вируса?

Да, чтобы шифровальшик не продолжал шифровать файлы.
 

Или к дешифровке это тоже относится?

К сожалению, на данном этапе мы не можем помочь с расшифровкой, это касается только расшифровка силами добровольцев на форуме. Но вам лучше написать еще в тех. поддержку лаборатории Касперского согласно следующей инструкции:

https://forum.kasper...showtopic=48525
  • 0

#12 OFF   novosadov.e

novosadov.e

    Новичок

  • Новички
  • Cообщений: 7

Отправлено 29 Май 2019 - 03:28

Спасибо


  • 0





Темы с аналогичными тегами: veracrypt, шифровальщик

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных