Перейти к содержанию

зашифровались все файлы на компе

Evgeniy1983
 Поделиться

Рекомендуемые сообщения

Evgeniy1983

Evgeniy1983

Опубликовано
Опубликовано

Добрый день!

Сег поймал вирус, который зашифровал все мои файлы. Можете как то помочь мне решить эту проблему или это конец??

все файлы стали с расширением cbf

Evgeniy1983

Evgeniy1983

Опубликовано
  • Автор
Опубликовано

Добрый день!


Сег поймал вирус, который зашифровал все мои файлы. Можете как то помочь мне решить эту проблему?


все файлы стали с расширением cbf


Предложений по покупке ключа для дешифровки не было. Файл прилагается.


CollectionLog-2014.11.24-16.36.zip

mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

  then

   begin

    SearchRootkit(true, true);

    SetAVZGuardStatus(true);

   end;

 ClearQuarantine;

 QuarantineFile('C:\WINDOWS\cfdrive32.exe','');

 DeleteFile('C:\WINDOWS\cfdrive32.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');     

BC_ImportAll;

ExecuteSysClean;

BC_Activate;       

RebootWindows(false);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

mike 1

mike 1

Опубликовано
Опубликовано

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O4 - HKLM\..\Policies\Explorer\Run: []
 
:Processes
 
:Services
 
:Files
 
:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\036375.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\7782.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\15204.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\5494026.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\156796.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\7172354.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\230603.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\4984.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\62617.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\1634.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\030.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\213.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\985.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\3543.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\5965767.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\37187.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\173.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\235009.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\28053.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\33926.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\148213.exe"=-
"C:\DOCUME~1\АДМИНИ~1\LOCALS~1\Temp\037664.exe"=-

:Commands
[purity]
[emptytemp]
[Reboot]
  • В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!"
  • Компьютер перезагрузится.
  • После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и прикрепите его в следующее сообщение.
 
Что в папке?
 
2014-11-24 10:15:22 ----D---- C:\Program Files\1

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр КС
      Зашифровались файлы на компе и на сетевом диске.
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • Heno_888
      Зашифровали сервера и локальные компы!!!
      Автор Heno_888
      Здравствуйте, сегодня ночью была атака, зашифровали все данные, кроме .exe. Сможете помочь?
      aZR3PWEqL.README.txt IP network_Production.xlsx.aZR3PWEqL.7z
    • KSab
      Пошифровали все файлы на нескольких компах.
      Автор KSab
      Всем добрый день, хотя кому-то он и не особо добрый.
      Каким-то образом взломали сеть и пошифровали все файлы на серверах!
      При том, что стоял касперский-сервер и на многих станциях был развернул Workstation - не спасло((
      Теперь на десктопе, в корне каждой папки лежат файлы: 3KjQa6buA.README.txt
      Помогите расшифровать, пожалуйста!!
       
      Addition.txt FRST.txt
    • Andrey_ka
      зашифрованные файлы
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
×
×
  • Создать...