Перейти к содержанию

Вирус-шифровальщик зашифровал все документы (doc) и фото (jpg)


Рекомендуемые сообщения

Доброго дня. Просьба помочь побороть шифровальщик, который зашифровал все фотки и документы - в конце файлов прописано .cripttt. Произведена проверка утилитой KavRemovalTool, MBAM. Удалено несколько bat-файлов (лечение с перезагрузкой), однако файлы так и не открываются.

Вот файлы для примера:

https://drive.google.com/open?id=0B3htIBhCkjpqRzNoTWxZRld5Qnc

https://drive.google.com/open?id=0B3htIBhCkjpqU0NBVW8yZkR0Tnc

Заранее спасибо.

Изменено пользователем SkyFly
Ссылка на комментарий
Поделиться на другие сайты

Логи прикрепляют в теме через Расширенную форму, а не засоряют хранилище.

 

Выполните скрипт в AVZ

begin
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
ExecuteSysClean;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

 

 

Выполните ЕЩЕ РАЗ правила и предоставьте НОВЫЕ логи

Ссылка на комментарий
Поделиться на другие сайты

thyrex, огромное спасибо Вам за оперативную помощь. Прикрепляю новые логи (до прочтения данного сообщения и выполнения Вашего скрипта в AVZ) - файл CollectionLog-2016.04.11-15.06.zip, а также новые логи (после прочтения Вашего сообщения и после успешного выполнения Вашего скрипта в AVZ) - файл CollectionLog-2016.04.11-15.37.zip

Изменено пользователем SkyFly
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2016-01-18 12:24 - 2016-01-18 12:24 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Mobogenie
2016-01-18 11:24 - 2016-04-10 18:22 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\WindowsUpdater
2016-01-18 11:24 - 2016-04-10 18:22 - 00000000 ____D C:\Program Files (x86)\Mobogenie3
2016-01-18 11:24 - 2016-02-06 17:46 - 00000000 ____D C:\Users\Anatoliy\Documents\Mobogenie
2016-01-18 11:24 - 2016-01-18 11:24 - 00000000 ____D C:\Users\Public\Documents\GenieSoft
2016-01-18 11:20 - 2016-01-18 11:20 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\MyDesktop
2016-01-18 11:20 - 2016-01-18 11:20 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\MailProducts
2016-01-18 11:16 - 2016-04-10 18:24 - 00000000 ____D C:\Program Files (x86)\Sersoft
2016-01-19 12:02 - 2016-01-19 12:02 - 00000000 ____D C:\Users\Anatoliy\mobogenieP2sp
2016-02-05 11:33 - 2016-02-08 23:50 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Calculator
2016-03-03 12:32 - 2016-03-03 12:32 - 00000000 ____D C:\Users\Anatoliy\AppData\Roaming\Amigo
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
CHR DefaultSearchURL: Default -> hxxp://search.so-v.com/web?type=ds&x=fqvszbkjks-e656d277&uid=579872d1-edda-4a5b-844c-c30d14e6877b&q={searchTerms}
CHR DefaultSearchKeyword: Default -> so-v
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Task: {74760624-0F82-48D3-A143-618C6DD9CC74} - \WindowsUpdater -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файлаВсе файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  • Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

thyrex, выполнил всё, как Вы сказали. Вот прикрепил архив с файлами-отчётами:

FixLog_ClearLNK.zip

Изменено пользователем SkyFly
Ссылка на комментарий
Поделиться на другие сайты

Уважаемый thyrex. Огромное Вам человеческое спасибо за оперативную помощь! Всё прекрасно расшифровалось и всё открывается (за исключением нескольких PNG, GIF файлов)! Из всех 1903 фоток только одна (всего лишь одна!) не расшифровалась. А так всё удачненько! Спасибо Вам!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alexey9009
      От Alexey9009
      Здравствуйте! Сначала зашифровали файлы и просили выкуп по электронной почте. Расширение файла было .azot, отправили им 20 тыс. рублей, и они дали нам ключ с расшифровкой файлов. Но на следующий день компьютер снова зашифровали, и на сей раз другим форматом. Пользоваться можем только браузером, все остальные файлы на компьютере зашифрованы, решения не нашли. файлы прикрепить не удается, разрешение файла напишу ниже:
      Doc1.docx.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Видео Регистратор.url.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      1C Предприятие.lnk.ELONMUSKISGREEDY-2H3gbZkEOJISMcgWuWJFvN9ncUYD19T3cNBnHTQIMQc
      Также я прикрепил документ, который открывается при открытии любого файла, сейчас уже страшно переходить хоть куда-то, куда они просят. Спасибо
      Новый текстовый документ.txt
       
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
×
×
  • Создать...