Перейти к содержанию

Вирус-шифровальщик зашифровал все документы (doc) и фото (jpg)

SkyFly
 Share

Рекомендуемые сообщения

SkyFly Новичок

SkyFly

Опубликовано
Опубликовано (изменено)

Доброго дня. Просьба помочь побороть шифровальщик, который зашифровал все фотки и документы - в конце файлов прописано .cripttt. Произведена проверка утилитой KavRemovalTool, MBAM. Удалено несколько bat-файлов (лечение с перезагрузкой), однако файлы так и не открываются.

Вот файлы для примера:

https://drive.google.com/open?id=0B3htIBhCkjpqRzNoTWxZRld5Qnc

https://drive.google.com/open?id=0B3htIBhCkjpqU0NBVW8yZkR0Tnc

Заранее спасибо.

Изменено пользователем SkyFly
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Логи прикрепляют в теме через Расширенную форму, а не засоряют хранилище.

 

Выполните скрипт в AVZ

begin
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты
SkyFly Новичок

SkyFly

Опубликовано
  • Автор
Опубликовано (изменено)

thyrex, огромное спасибо Вам за оперативную помощь. Прикрепляю новые логи (до прочтения данного сообщения и выполнения Вашего скрипта в AVZ) - файл CollectionLog-2016.04.11-15.06.zip, а также новые логи (после прочтения Вашего сообщения и после успешного выполнения Вашего скрипта в AVZ) - файл CollectionLog-2016.04.11-15.37.zip

Изменено пользователем SkyFly
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2016-01-18 12:24 - 2016-01-18 12:24 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Mobogenie
2016-01-18 11:24 - 2016-04-10 18:22 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\WindowsUpdater
2016-01-18 11:24 - 2016-04-10 18:22 - 00000000 ____D C:\Program Files (x86)\Mobogenie3
2016-01-18 11:24 - 2016-02-06 17:46 - 00000000 ____D C:\Users\Anatoliy\Documents\Mobogenie
2016-01-18 11:24 - 2016-01-18 11:24 - 00000000 ____D C:\Users\Public\Documents\GenieSoft
2016-01-18 11:20 - 2016-01-18 11:20 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\MyDesktop
2016-01-18 11:20 - 2016-01-18 11:20 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\MailProducts
2016-01-18 11:16 - 2016-04-10 18:24 - 00000000 ____D C:\Program Files (x86)\Sersoft
2016-01-19 12:02 - 2016-01-19 12:02 - 00000000 ____D C:\Users\Anatoliy\mobogenieP2sp
2016-02-05 11:33 - 2016-02-08 23:50 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Calculator
2016-03-03 12:32 - 2016-03-03 12:32 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Amigo
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
CHR DefaultSearchURL: Default -> hxxp://search.so-v.com/web?type=ds&x=fqvszbkjks-e656d277&uid=579872d1-edda-4a5b-844c-c30d14e6877b&q={searchTerms}
CHR DefaultSearchKeyword: Default -> so-v
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Task: {74760624-0F82-48D3-A143-618C6DD9CC74} - \WindowsUpdater -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SkyFly Новичок

SkyFly

Опубликовано
  • Автор
Опубликовано (изменено)

thyrex, выполнил всё, как Вы сказали. Вот прикрепил архив с файлами-отчётами:

FixLog_ClearLNK.zip

Изменено пользователем SkyFly
Ссылка на комментарий
Поделиться на другие сайты
SkyFly Новичок

SkyFly

Опубликовано
  • Автор
Опубликовано

Уважаемый thyrex. Огромное Вам человеческое спасибо за оперативную помощь! Всё прекрасно расшифровалось и всё открывается (за исключением нескольких PNG, GIF файлов)! Из всех 1903 фоток только одна (всего лишь одна!) не расшифровалась. А так всё удачненько! Спасибо Вам!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      От Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
    • boshs
      вирус шифровальщик UUUUUU.uuu
      От boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      От Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • foroven
      Шифровальщик ooo4ps зашифровал сервер.
      От foroven
      Добрый день. Столкнулись с шифровальщиком. Заражение по-видимому произошло ещё в субботу 22.02.2025 около 19 часов вечера. Зашифрованы документы и базы. 
      Mega.7z
    • Андрей1566
      зашифрованы базы 1С и документы. Требуют денег.
      От Андрей1566
      Ночью были перекодированы все бекапы файлов и баз 1С Так же все рабочие базы. Сами системы не пострадали Пожалуйста раскодируйте по возможности. Есть подозрение, что вирус принес гость, подключившийся к офисной сети
      Addition.txt FRST.txt README.txt
×
×
  • Создать...