Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Если есть возможность окажите помощь.

Возможно после установки файла, который в архиве "virus" зашифровались файлы на логическом диске E, а логический диск D стал RAW

Addition.txt FRST.txt файлы.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 64 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.

Ссылка на сообщение
Поделиться на другие сайты

Некоторое время подождите.

 

Получите и прочтите личное сообщение.

 

Как понимаю, шифрование произошло очень давно, верно?

 

Сделаем некоторую очистку системы.

 

Через Панель управления - Удаление программ удалите нежелательное ПО:

Цитата

 

Bonjour

UmmyVideoDownloader

VdhCoApp 1.6.3

 

 

Затем:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: I - I:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {0840ee0c-3d41-11ec-8655-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {09b13e1a-8c7e-11e7-ad69-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd473-bcfa-11e9-936d-806e6f6e6963} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd49d-bcfa-11e9-936d-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {13dcd4c4-bcfa-11e9-936d-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {14e6ad9e-f907-11e6-8fc4-00027216efe4} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {14e6ada6-f907-11e6-8fc4-00027216efe4} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {189df493-4786-11e7-bf3b-00027216efe4} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {28e34513-1a8c-11e7-b8e2-806e6f6e6963} - I:\setup.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {31bc1374-bff8-11e8-8539-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {3af6a7e2-e289-11e8-bfd6-00027216efe4} - G:\wpi\MInst.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {3baaff50-d568-11ea-bb8f-00027216efe4} - N:\wpi\MInst.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {403a8ff3-318f-11eb-b43a-00027216efe4} - I:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {411b0068-1d6d-11e9-83e6-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {5291d9c0-e075-11e9-84b8-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {65c931a8-61f2-11eb-abe3-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8a6170d0-3e0b-11e8-9254-00027216efe4} - G:\DriverPack.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8a6170e0-3e0b-11e8-9254-00027216efe4} - H:\wpi\MInst.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {8ccbda1e-b511-11e9-8040-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {97e53e46-f3ff-11e6-989d-00027216efe4} - G:\wpi\MInst.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {97e53e49-f3ff-11e6-989d-00027216efe4} - K:\wpi\MInst.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {a44dd262-a6aa-11e7-ade3-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {aed18621-a3bf-11e8-9b8d-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {aed1865e-a3bf-11e8-9b8d-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {afda033d-8a5d-11e8-9737-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c04159d6-508e-11e9-976a-00027216efe4} - I:\wpi\MInst.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c574591d-7311-11ea-9286-00027216efe4} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c5745922-7311-11ea-9286-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {c88fb00b-0870-11ea-9ece-00027216efe4} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {cc9f34e1-ddcb-11e9-b8a1-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {d14ea1b7-a8a9-11ea-ab45-00027216efe4} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {d190e603-49af-11e7-acf3-00027216efe4} - J:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {f1c19ec5-eabc-11e6-a178-00027216efe4} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-1017294767-3091928477-881633829-1001\...\MountPoints2: {ff77f084-2239-11ea-a77b-00027216efe4} - H:\HiSuiteDownLoader.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {9D4FFD23-B8C9-42FD-8E09-993D88FE1338} - \DRPNPS -> Нет файла <==== ВНИМАНИЕ
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    FirewallRules: [{9544995D-C5C3-4EB2-9748-02823DF2ED03}] => (Allow) LPort=2869
    FirewallRules: [{01F3F64B-4AF3-4894-AF6C-BA949AF79994}] => (Allow) LPort=1900
    FirewallRules: [{A1CA20B2-647E-4FE7-AE61-9AF851D9DC1C}] => (Allow) LPort=24094
    FirewallRules: [{4D6C69B0-8180-4D3C-ACAF-000524DC8039}] => (Allow) LPort=24094
    FirewallRules: [{D7E8D187-0A11-40A5-860E-6504449EA64E}] => (Allow) LPort=7437
    FirewallRules: [{5A2CC29A-8CBB-40DC-A2B6-7534996A4C0A}] => (Allow) LPort=24094
    FirewallRules: [{0D3B53D1-2EB4-4C21-92B8-0212BC3E7F66}] => (Allow) LPort=24094
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ссылка на сообщение
Поделиться на другие сайты

Дешифровка сработала, файлы расшифровались.

 

Шифрование произошло вчера. Перед установкой одной программы я отключил антивирус и вот так всё и произошло.

Когда я заметил, что что-то идёт не так, я перезагрузил компьютер. В этот момент скорее всего происходило шифрование на логическом диске D. Потому что до перезагрузки  диск D в системе был нормальным, а после перезагрузки стал RAW.

Сейчас пытаюсь восстановить файлы с него. Там есть и шифрованные и не шифрованные файлы однотипные.

 

С Fix-ом произошла промашка, не отключил антивирус, запускал повторно.

 

Огромное спасибо за помощь!

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Странно, судя по логу, дата и время появления в системе записки о выкупе 2017-02-01 14:30.

Ладно, хорошо, что получилось.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor changed the title to [РАСШИФРОВАНО] Помощь в расшифровке.

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
Microsoft .NET Framework 4.8 v.4.8.03761
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.30.3 Внимание! Скачать обновления
WinSCP 5.19.5 v.5.19.5 Внимание! Скачать обновления
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.14.4431 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.5 v.7.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitComet 1.72 v.1.72 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 331 (64-bit) v.8.0.3310.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
iTunes v.12.10.11.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
K-Lite Mega Codec Pack 15.8.5 v.15.8.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.5.4.904 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
AusLogics BoostSpeed 5.5.1.0 v.5.5.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • superjeksan
      От superjeksan
      Здравствуйте! 
      взломали пк по RDP. зашифровали важные файли . попытался я найти шифровальщика . но не смог найти, либо не там искал.
      лог и файлы зашифрованные в архиве
       
      файлы шифров.rar
    • AlexF
      От AlexF
      Я смотрю не одинок я. Товарищи! Выручайте. Вся моя жизнь как повара зашифрована  
      С меня плюсов в карму и вкусностей всяких. Заранее благодарен.
      files.rar
    • ADmitry73
      От ADmitry73
      Прошу помочь расшифровать файлы сервера.
      Произошло это сегодня ночью, логи FRST снял, также имеются файлы зашифрованный и оригинальный и письмо вымогателей.
      Будем очень признательны за помощь, спасибо!
    • lakost08
      От lakost08
      Был атакован сервер Windows Server 2008, а файлы зашифрованы. По факту есть бекап сервера, но увы и ах он тоже зашифрован, возможно ли расшифровать? прилагаю документы.
      x.zip
    • Анатолий Т
      От Анатолий Т
      День добрый.
      10 апреля пошли спать. 11 утром обнаружили, что все файлы зашифрованы.
      С Вашей помощью получилось восстановить файлы. Но вот сегодня обнаружил, что по RDP, с ноутбука который был вылечен, подключились к рабочему серверу и зашифровали там файлы тоже.
      Помогите пожалуйста отчистить комп от заразы.
      Addition.txt FRST.txt
×
×
  • Создать...