Перейти к содержанию

Все важные файлы на всех дисках зашифрованы. Требуется помощь

mdbm
 Поделиться

Рекомендуемые сообщения

mdbm

mdbm

Опубликовано
Опубликовано

Добрый день, уважаемые.

Домашний компьютер был защищен (Avast), но это не помогло....: злоумышленники зашифровали на компьютере все семейные фотографии (

Было оставлено сообщение в файле README.txt с просьбой прислать КОД B20026044431852BE5BB|0 на deshifrator01@gmail.com

(см. прикрепленную картинку-фотоскрин)

 

В поисках решения данной проблемы нашел инструкцию по адресу 

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
 

Мои действия:

 

1. Проверил ПК, воспользовавшись двумя продуктами:

2. Очистил содержимое временных папок, используя стандартную программу ОС "Очистка диска". Ознакомился с инструкцией тут Windows XP

3. Скачал актуальную версию автоматического сборщика логов, Запустил файл AutoLogger.exe и следовал инструкции

4. Создаю новую тему в разделе форума "Уничтожение вирусов"

 

 

Выполнил все пункты и прикрепляю файл.

Помогите пожалуйста решить задачу. 

Возможно ли восстановление (дешифровка) фотографий ?

 

CollectionLog-2015.02.24-12.48.zip

post-27934-0-48777400-1424780464_thumb.jpg

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\program files\webget\bin\utilwebget.exe');
 TerminateProcessByName('c:\program files\webget\updatewebget.exe');
 SetServiceStart('{bfb10c93-5530-4015-9a3f-61dfa880af58}t', 4);
 SetServiceStart('{9edd0ea8-2819-47c2-8320-b007d5996f8a}t', 4);
 SetServiceStart('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt', 4);
 SetServiceStart('{970302c0-cf9b-403f-9271-510be0ea0e41}t', 4);
 SetServiceStart('{65cf228c-9737-4032-a0e5-85bf6eb0556b}t', 4);
 SetServiceStart('{55685567-4840-4a91-962b-49a412e9485a}t', 4);
 SetServiceStart('{1ffea19d-7c99-423a-a198-c6b90ff23847}t', 4);
 SetServiceStart('{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t', 4);
 SetServiceStart('Util webget', 4);
 SetServiceStart('Update webget', 4);
 StopService('{bfb10c93-5530-4015-9a3f-61dfa880af58}t');
 StopService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}t');
 StopService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt');
 StopService('{970302c0-cf9b-403f-9271-510be0ea0e41}t');
 StopService('{65cf228c-9737-4032-a0e5-85bf6eb0556b}t');
 StopService('{55685567-4840-4a91-962b-49a412e9485a}t');
 StopService('{1ffea19d-7c99-423a-a198-c6b90ff23847}t');
 StopService('{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t');
 StopService('3D0F3BA3');
 StopService('Util webget');
 StopService('Update webget');
 QuarantineFile('C:\Program Files\webget\*','');
 QuarantineFile('C:\Documents and Settings\Admin\Мои документы\Titan Poker\casino.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\SfVovCiWuQVkYolHbrY-xSCkX9BFGeJXuw3XljX728EmBEwdcGOMpjcFT7YhkC-+h327YfysL2hc1GOZ2zvXPg==.xtbl','');
 QuarantineFile('C:\windows\system32\drivers\{cd6916b7-8b8b-4a25-b167-fbd7ae1c0294}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys','');
 QuarantineFile('C:\windows\system32\drivers\{970302c0-cf9b-403f-9271-510be0ea0e41}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{65cf228c-9737-4032-a0e5-85bf6eb0556b}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{1ffea19d-7c99-423a-a198-c6b90ff23847}t.sys','');
 QuarantineFile('C:\windows\system32\drivers\{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t.sys','');
 QuarantineFile('42666838.sys','');
 QuarantineFile('3D0F3BA3.sys','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\152A1A2E0C8.sys','');
 QuarantineFile('c:\documents and settings\admin\local settings\temp\14974F4F3DE.sys','');
 DeleteFile('C:\windows\system32\drivers\{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{1ffea19d-7c99-423a-a198-c6b90ff23847}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{65cf228c-9737-4032-a0e5-85bf6eb0556b}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{970302c0-cf9b-403f-9271-510be0ea0e41}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys','32');
 DeleteFile('C:\windows\system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{bfb10c93-5530-4015-9a3f-61dfa880af58}t.sys','32');
 DeleteFile('C:\windows\system32\drivers\{cd6916b7-8b8b-4a25-b167-fbd7ae1c0294}t.sys','32');
 DeleteFileMask('C:\Program Files\webget\','*', true, '');
 DeleteDirectory('C:\Program Files\webget\',' ');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\SfVovCiWuQVkYolHbrY-xSCkX9BFGeJXuw3XljX728EmBEwdcGOMpjcFT7YhkC-+h327YfysL2hc1GOZ2zvXPg==.xtbl','32');
 DeleteService('{bfb10c93-5530-4015-9a3f-61dfa880af58}t');
 DeleteService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}t');
 DeleteService('{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt');
 DeleteService('{970302c0-cf9b-403f-9271-510be0ea0e41}t');
 DeleteService('{65cf228c-9737-4032-a0e5-85bf6eb0556b}t');
 DeleteService('{55685567-4840-4a91-962b-49a412e9485a}t');
 DeleteService('{1ffea19d-7c99-423a-a198-c6b90ff23847}t');
 DeleteService('{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}t');
 DeleteService('Util webget');
 DeleteService('Update webget');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: webget 1.0.0.7 - {dc264a72-fa75-4948-b881-ea8eff8e5dd2} - C:\Program Files\webget\webgetBHO.dll
O4 - Startup: SfVovCiWuQVkYolHbrY-xSCkX9BFGeJXuw3XljX728EmBEwdcGOMpjcFT7YhkC-+h327YfysL2hc1GOZ2zvXPg==.xtbl
 
Сделайте новые логи по правилам (только пункт 3).
+
лог Farbar Recovery Scan Tool

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

  • 2 недели спустя...
mdbm

mdbm

Опубликовано
  • Автор
Опубликовано

Я создал запрос в тот же день, но до сих пор ответ не поступил на указанную в запросе электропочту
Сегодня повторно совершил запрос. (см. картинку)

Вопрос: Что делать с зашифрованными файлами ? Могу ли я их как-то расшифровать ? Что мне делать дальше если ответа не поступит ?

 

С уважением пострадавший.

post-27934-0-96806700-1425537400_thumb.jpg

thyrex

thyrex

Опубликовано
Опубликовано

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
     
    CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://rts.dsrlte.com/?m=tab&affID=na" <======= ATTENTION
SearchScopes: HKU\S-1-5-21-436374069-1177238915-1606980848-500 -> {60979F40-1638-406D-8C80-FB2E6C4B7083} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=60
Toolbar: HKU\S-1-5-21-436374069-1177238915-1606980848-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
SearchScopes: HKU\S-1-5-21-436374069-1177238915-1606980848-500 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = http://gsearch.softmen.ru/?q={searchTerms}&utm_medium=ise&utm_source=sk&utm_campaign=bp&utm_content=11-02
SearchScopes: HKU\S-1-5-21-436374069-1177238915-1606980848-500 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = http://search.softmen.ru/?text={searchTerms}&utm_medium=ise&utm_source=sk&utm_campaign=bp&utm_content=11-02
FF DefaultSearchUrl: hxxp://gsearch.softmen.ru/?utm_medium=fse&utm_source=sk&utm_campaign=bp&utm_content=11-02&q=
FF Extension: Аудио и видео скачивание - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\k7wui19f.default\Extensions\avdownloader-sk16@sk-sdk.com.xpi [2014-06-24]
FF Extension: webget 1.0.1 - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\k7wui19f.default\Extensions\{0d4cca85-dc2d-45b2-bbaf-78d1b51629f0}.xpi [2014-12-03]
FF Extension: Greasemonkey - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\k7wui19f.default\Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi [2013-05-28]
CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com"
CHR StartupUrls: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com"
CHR DefaultSearchKeyword: Default -> dsrlte.com
CHR DefaultNewTabURL: Default -> http://rts.dsrlte.com?affID=pr_09646eb7-9582-4be9-92a2-032d09187e05
CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bkailahlmeablpbajegfdlcnabbloadi [2014-06-24]
CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bmkckgpgekmanipelfidlhmkfcjicion [2015-01-21]
CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fkkcgfbgohboipdhliafmacjnhjbhmim [2014-11-05]
CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2014-11-05]
CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2013-01-29]
CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kheplajlialegkhogehgdbhaogeikfag [2014-09-29]
CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2013-05-22]
CHR Extension: (No Name) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-09-15]
CHR HKLM\...\Chrome\Extension: [bkailahlmeablpbajegfdlcnabbloadi] - C:\Program Files\Аудио и видео скачивание\avdownloader-sk.crx [2014-06-24]
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2014-02-03]
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-436374069-1177238915-1606980848-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bmkckgpgekmanipelfidlhmkfcjicion] - https://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-436374069-1177238915-1606980848-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkkcgfbgohboipdhliafmacjnhjbhmim] - https://clients2.google.com/service/update2/crx
S1 {cd6916b7-8b8b-4a25-b167-fbd7ae1c0294}t; system32\drivers\{cd6916b7-8b8b-4a25-b167-fbd7ae1c0294}t.sys [X]
C:\Documents and Settings\Admin\Local Settings\Temp\AmigoDistrib.exe
Reboot:
  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Roman_Five

Roman_Five

Опубликовано
Опубликовано

 

 


Могу ли я их как-то расшифровать ?

 

1) восстановить из бекапа

2) связаться со злоумышленниками

чисто.

mdbm

mdbm

Опубликовано
  • Автор
Опубликовано

Мой компьютер чист, но дешифровать не получиться. Все верно ?
Для восстановления семейных фотографий одна надежда - это связаться со злоумышленниками и оплатить им услугу дешифровки. Правильно ?

mdbm

mdbm

Опубликовано
  • Автор
Опубликовано

Спасибо большое за поддержку и проведенную работу. 

Если будет что-то интересное в продолжение темы, расскажу  :)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Lina_ko
      KVRT не может удалить троян.
      Автор Lina_ko
      Добрый день, о великие. Прошу вас о помощи. Когда устанавливала пиратскую игру получила что-то наподобие недоделанного винлокера, который после перезапуска компа пропал. Проверила комп KVRT и он нашёл троян. После лечения с перезапуском он нашёл два трояна. После перезапуска с лечением снова, он снова нашёл два трояна. Так-же, при действии по инструкции я пошла отключать встроенный защитник windows и обнаружила что панели нет. Скрин и логи прилагаю. Помогите, кто чем может.

      CollectionLog-2026.01.18-10.05.zip report1.log report2.log
    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
×
×
  • Создать...