Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

Помогите пожалуйста. все документы на диске Д защифровались с расширением green.

стоит eset smart security 4. Он среагировал, удалил какой-то вирус. главное на рабочем столе все документы в

 

норме. FRST.txt

Addition.txt

 

CollectionLog-2015.08.24-13.05.zip

Изменено пользователем Evgen_59
Ссылка на сообщение
Поделиться на другие сайты
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\AdobeSystem.exe','');
 DeleteService('ttnfd');
 DeleteFile('C:\WINDOWS\system32\drivers\ttnfd.sys','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\AdobeSystem.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','AdobeUpdate');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты

 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\AdobeSystem.exe','');
 DeleteService('ttnfd');
 DeleteFile('C:\WINDOWS\system32\drivers\ttnfd.sys','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\AdobeSystem.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','AdobeUpdate');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

AdwCleanerS1.txt

Ссылка на сообщение
Поделиться на другие сайты
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на сообщение
Поделиться на другие сайты

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепит

Здравствуйте!

Хорошо, я выполню ваши рекомендации, но это произойдет завтра в 8-00, т.к. заражение произошло на работе. И можно вопрос? Есть ли шансы на восстановление? Ни одна утилита по расшифровке не помогает, ни Веб, ни НОД, ни каспер.

Ссылка на сообщение
Поделиться на другие сайты

С расшифровкой не поможем. Будет только зачистка вирусных следов. 

Выполнил выши рекомендации. Можно ли продолжать работать на данной машине? вирус уничтожен?

AdwCleanerC1.txt

Ссылка на сообщение
Поделиться на другие сайты

Можно.

 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

деинсталлируйте

Google Update Helper
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

HKU\S-1-5-18\...\RunOnce: [Del1677890] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== ATTENTION
HKU\S-1-5-18\...\RunOnce: [Del1900875] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== ATTENTION
HKU\S-1-5-18\...\RunOnce: [Del5680281] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== ATTENTION
URLSearchHook: [S-1-5-21-343818398-507921405-682003330-1003] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-343818398-507921405-682003330-500 -> {95F663C0-C370-4955-8B39-63069DB1F6C0} URL = hxxp://inet123.ru/?cx=partner-pub-7107628092852806%3Asxiti5-
S4 IntelIde; no ImagePath
S1 mnmdd; no ImagePath
U1 WS2IFSL; no ImagePath

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

все сделал. что дальше?


Вопрос! А если я смогу достать 1 из оригиналов зашифрованного документа. Это может помочь с дешифратором??

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Не поможет это ничем. 

 [KLAN-3079177704] - номер регистрации обращения.

Можно ли рассчитывать, что в ближайшее время обновления утилит по дешифровке выйдет на мою "заразу" лечение?

И сколько обычно ждать и  хранить информацию "до лучших времен"? Уведомят ли меня о выходе "противоядия"?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От sysmgv113
      Компания "МЕТА" являемся пользователями  продукта:
      Kaspersky Small Office Security Desktop International Edition: 14 Desktops; Kaspersky
      Small Office Security 7.0 File Server Protection : 1 FileServer; Kaspersky Password
      Manager: 14 Users; Kaspersky Internet Security for Android: 14 Mobile devices
       
      На экране Server 2003 (легальная копия) появилось сообщение:
      All your files have been encrypted! All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail 3441546223@qq.com Write this ID in the title of your message C4A32041 In case of no answer in 24 hours write us to theese e-mails:3441546223@qq.com You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the decryption tool that will decrypt all your files.
      И на всех дисках файлы оказались зашифрованы вирусом шифровальщиком.
      Помогите с расшифровкой, пожалуйста.
      Лог прилагаю
      https://cloud.mail.ru/public/2oFq/rHWu4dC1S
    • От jlexa2008
      Здравствуйте, вирус шифровальщик зашифровал все важные файлы на компьютере (базы SQL и прочие)
       
      файлик HOW TO RECOVER ENCRYPTED FILES.txt.cryptopatronum@protonmail.com
      описание вымогателей зашифровал сам себя прочитать его невозможно
       
      во вложении файл автоматического сборщика логов ( + там же от Farbar Recovery Scan Tool  2 лог файла)
      пример зашифрованного файла в архиве (и оригинальный файл) (чат.png)

      проверка антивирусной программой (касперского) ничего не нашла (запускал на сервере, файлы на котором зашифровались, он находится в удаленном доступе)
      CollectionLog-2020.01.27-10.56.zip
    • От Роман933
      Здравствуйте!
      Помогите расшифровать файлы с расширением .bora от вируса-шифровальщика (Ransomware). Нигде в сети по такому расширению информации нет. Обычные дешифраторы не помогают. Windows 7 не был настроен на регулярное архивирование, поэтому прежних копий файлов не сохранилось.
      Пробовал
      Recuva
      STOPDecrypter
      Hetman_partition_recovery
      RS_file_repair и другие - ничего не помогает. Я в отчаянии.
       

      Сообщение от модератора thyrex Перенесено из Компьютерной помощи
    • От doneld
      Добрый день, поймал шифровальщик veracrypt@foxmail.com.
      Видимо пролез по rdp через пользователя без прав. В какойто момент увидел у юзера левый процесс "veracrypt@foxmail.com.exe", вроде вовремя выключил, но зашифровал добротную кучу файлов.
    • От neyda4nik
      Добрый день. Зашифрованы файлы. Добавлено ко всем расширение .omerta . Файлы зашифрованы частично (рабочий стол не тронут, некоторые файлы в папках). Подскажите возможно ли расшифровать?? Лог прикрепляю.  Также в прикреплении скрин из истории браузера, что-то подозрительное.

      CollectionLog-2019.02.08-09.43.zip
×
×
  • Создать...