Перейти к содержимому


Фотография
- - - - -

как дешифровать файлы .crypted

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 17

#1 OFF   Alexey2020

Alexey2020

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 15 Июль 2019 - 22:33

Доброго времени!

Просьба помочь какой утилитой можно дешифровать испорченные вирусом файлы?

Просканировал утилитой Virus Removal Tool...угроз не обнаружилось...


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 894

Отправлено 15 Июль 2019 - 22:53

Здравствуйте,

Если это GlobeImposter2, c расшифровкой помочь не сможем.

«Порядок оформления запроса о помощи».


  • 0

#3 OFF   Alexey2020

Alexey2020

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 15 Июль 2019 - 22:57

Здравствуйте,

Если это GlobeImposter2, c расшифровкой помочь не сможем.

«Порядок оформления запроса о помощи».

А как определить что "это"?


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 15 Июль 2019 - 23:17

Ждем логи по правилам
  • 0
  • Согласен x 1
  • Показать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   Alexey2020

Alexey2020

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 15 Июль 2019 - 23:25

Логи прикрепил...

Прикрепленные файлы


  • 0

#6 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 894

Отправлено 15 Июль 2019 - 23:40

Похоже файлы обнулены,если ориентировать на файл hosts.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


Могли бы приложить файлы вымогателей.

 
  • 0

#7 OFF   Alexey2020

Alexey2020

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 15 Июль 2019 - 23:58

Спасибо, сделал...Все файлы в архиве

Прикрепленные файлы


  • 0

#8 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 894

Отправлено 16 Июль 2019 - 00:21

Похоже у Вас - ShkolotaCrypt. На сколько мне известно на данный момент нет публичных решений по данному типу шифровальщика. Попробуйте обратиться в тех. поддержку при наличие лицензии на продукты Kaspersky, согласно следующей инструкции:

https://forum.kasper...showtopic=48525

Сами настраивали локальную политику?

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-1933739545-1249923222-874831802-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION


  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: D:\CA_LIC\lic98Service.exe
    File: D:\CA_LIC\LogWatNT.exe
    HKLM-x32\...\Run: [Adobe Flash Player SU] => [X]
    HKLM-x32\...\Run: [] => [X]
    File: C:\Program Files (x86)\Xfire\Xfire.exe
    FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
    Folder: C:\ProgramData\Key-Base
    File: C:\Windows\Setup1.exe
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

  • 0

#9 OFF   Alexey2020

Alexey2020

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 16 Июль 2019 - 07:19

Лицензии нет(

Относительно локальной политики не уверен...несколько пользователей у компа, но вирус был запущен с exe-шника(

Файл прикрепил....

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   7,99К   скачиваний 0

Сообщение отредактировал Alexey2020: 16 Июль 2019 - 07:21

  • 0

#10 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 894

Отправлено 16 Июль 2019 - 07:23

Относительно локальной политики не уверен...несколько пользователей у компа, но вирус был запущен с exe-шника(

Файл прикрепил....

Вирус был запущен пользователями или злоумышлинниками? Вам удалось понять как это произошло?

Уточните пожалуйста какой файл вы прикрепили, в предыдущем сообщение нет прикрепленных файлов, скорее всего вы не нажали загрузить.

P.S. Только пожалуйста не прикрепляйте вредоносное ПО к сообщениям.


  • 0

#11 OFF   Alexey2020

Alexey2020

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 16 Июль 2019 - 12:47

 

Относительно локальной политики не уверен...несколько пользователей у компа, но вирус был запущен с exe-шника(

Файл прикрепил....

Вирус был запущен пользователями или злоумышлинниками? Вам удалось понять как это произошло?

Уточните пожалуйста какой файл вы прикрепили, в предыдущем сообщение нет прикрепленных файлов, скорее всего вы не нажали загрузить.

P.S. Только пожалуйста не прикрепляйте вредоносное ПО к сообщениям.

 

Вирус был запущен пользователем (exe -шник запустили). Повторно прикрепляю файл Fixlog.txt

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   7,99К   скачиваний 0

  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 666

Награды

           

Отправлено 16 Июль 2019 - 13:01

Вирус был запущен пользователем (exe -шник запустили)

Файл сохранился?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   Alexey2020

Alexey2020

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 16 Июль 2019 - 19:26

 

Вирус был запущен пользователем (exe -шник запустили)

Файл сохранился?

 

Да, куда его можно выслать?


  • 0

#14 ON   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 918

Отправлено 16 Июль 2019 - 19:43

Упакуйте в архив с паролем virus и отправьте личным сообщением thyrex
  • 0
Изображение

#15 OFF   Alexey2020

Alexey2020

    Новичок

  • Новички
  • Cообщений: 9

Отправлено 16 Июль 2019 - 23:35

Упакуйте в архив с паролем virus и отправьте личным сообщением thyrex

Спасибо, отправил...


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных