crylock 2.0.0.0 [РАСШИФРОВАНО] Попался на шифровальщика

[Stepan1992]

Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.

Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены

FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar

Изменено 26 октября, 2023 пользователем Stepan1992

[Sandor]

Здравствуйте!

 

Инструкция по расшифровке отправлена вам личным сообщением.

Почистим некоторый мусор в системе.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player ActiveX & Plugin 64-bit

Bonjour

HitmanPro 3.8

Кнопка "Яндекс" на панели задач

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
  IFEO\FF_.exe: [Debugger] 0
  IFEO\KMmpeg.exe: [Debugger] 0
  IFEO\KMPlayer.exe: [Debugger] 0
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {807FD3D6-6770-43C4-BE4A-6145FDD9BD11} - \Обновление Браузера Яндекс -> Нет файла <==== ВНИМАНИЕ
  Task: {D0B31B8B-175D-47C3-8B8C-815296BA4E78} - \FreedomeTrialReset -> Нет файла <==== ВНИМАНИЕ
  Task: {65816FB6-597E-4930-9284-950BE9F4B9C8} - System32\Tasks\7856757 => C:\ProgramData\dir\V-K_D-J.exe  /H (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Stepan\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\Stepan\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\Stepan\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
  CHR HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\Stepan\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\Stepan\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  AV: Avast Antivirus (Enabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF}
  FW: Avast Antivirus (Enabled) {D322394B-73F7-C65E-BBB0-3B81E063D6D4}
  Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{4a84adfe-1df8-4a55-9f5a-8c4d7d5d17a5}) (Version: 1.0.0.0 - TotalAdblock) Hidden
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [1016]
  HKU\S-1-5-21-3421071994-4153641273-4281811550-1002\Software\Classes\exefile:  <==== ВНИМАНИЕ
  FirewallRules: [{52458DF4-AAC8-45DB-88CB-F34B6EB8D448}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{D7DD96C7-268A-4EBC-9FBE-1D102B5E7D41}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{23A986AB-4983-431A-8376-8E68C3E61543}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{1F6130B8-C47E-4246-A3A6-FB3B71661A23}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{97863225-0F51-43FE-8F9D-A7476CA3BFEC}] => (Allow) LPort=31300
  FirewallRules: [{58AD9F9C-2930-4114-B43B-D8303C2596C3}] => (Allow) LPort=31104
  FirewallRules: [{D89D4269-3117-475E-9719-F341D2E09052}] => (Allow) LPort=31105
  FirewallRules: [{F2CA0EC7-029C-487B-AD84-413E6FE6E63E}] => (Allow) LPort=31106
  FirewallRules: [{05A5D0AF-90CC-442A-A5CD-1F6C787A9487}] => (Allow) LPort=31107
  FirewallRules: [{2FD2EFC7-0ED8-44F7-89D7-6A6929758480}] => (Allow) LPort=31108
  FirewallRules: [{B0594578-45EA-4BD3-B52C-538999A3AC66}] => (Allow) LPort=31109
  FirewallRules: [{3DBB99F4-58A0-4561-AF0E-708C1E178012}] => (Allow) LPort=31110
  FirewallRules: [{32E59D48-3094-474D-AFF5-73D25D8B369F}] => (Allow) LPort=31111
  FirewallRules: [{DDF33695-B7F6-4DE1-A9ED-24A0929DCDD1}] => (Allow) LPort=31112
  FirewallRules: [{8D141381-0A99-4050-94A5-EE5892FFCFDC}] => (Allow) LPort=31113
  FirewallRules: [{627AE4DC-BC8B-453E-A871-06F63B32ADF6}] => (Allow) LPort=80
  StartBatch:
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
  EndBatch:
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Total Adblock - Free AdBlocker 1.0.0.0

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller
 

[Stepan1992]

все супер все расшифровал😀

Fixlog.txt

[Sandor]

Дважды выполнять скрипт не нужно было, результат перезаписался. Но не страшно.

 

В завершение и на будущее:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Stepan1992]

а для чего мы это все делали?

SecurityCheck.txt

[Sandor]

Мы привели вашу систему в порядок.

 

Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен Контроль учётных записей
 

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.21.3.10.391 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
calibre 64bit v.6.16.0 Внимание! Скачать обновления
Python 3.10.5 (64-bit) v.3.10.5150.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.5.0.3 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.21668 Внимание! Скачать обновления
WhatsApp v.2.2226.6 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.7-I602 amd64 v.2.5.036 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.17 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
CleanMyPC 1.12.2.2178 v.1.12.2.2178 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
SpyHunter 5 v.5.10.9.232 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
The KMPlayer RePack by CUTA v.4.2.2.72 - (build 4) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
3D SexVilla 2 & Hustler3D - Repack by Archangel (25/01/2012) v.1.0.1.4 Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
 

 

Читайте Рекомендации после удаления вредоносного ПО