HelpSeeker 0 Опубликовано 14 мая, 2016 Share Опубликовано 14 мая, 2016 (изменено) Здравствуйте, уважаемые! Случилась неприятность - родственник подцепил неизвестным образом троян-вымогатель, в результате чего большое кол-во файлов оказалось закриптовано (расширение .crypt) Причем поражен оказался только один из них двух имеющихся жестких дисков (два логических). Сам троян, хочется верить, я удалил утилитой от ESET + Kaspersky Virus Removal Tool. А вот с расшифровкой вопрос обстоит сложнее. Нагуглили RannohDecryptor 1.9.1.0, который помог, но только частично. Закриптованы были архивы, базы, вордовские файлы и несколько тысяч обычных тесктовых файлов (,txt). К счастью, нашлись резервные копии некоторых пострадавших файлов, что позволило запустить декриптор. Но после прогона выяснилось, что он расшифровал все, кроме текстовых файлов (хотя ключ вытащил именно и тхт-шного файлика). По не очень понятной мне причине он их просто игнорирует. Во время скана видно, что он их сканирует, но не распознает как закприптованные и, следовательно, не пытается расшифровать. Что мы делаем не так? Логи прилагаю. Если нужна еще какая-то информация, постараюсь добыть. Есть несклько пар оригинальных файлов и их закриптованый вариант. Ну и тот мусор, который троян оставил в каждой директории. Заранее спаибо! CollectionLog-2016.05.14-23.27.zip Изменено 14 мая, 2016 пользователем HelpSeeker Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 мая, 2016 Share Опубликовано 15 мая, 2016 Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
HelpSeeker 0 Опубликовано 15 мая, 2016 Автор Share Опубликовано 15 мая, 2016 Вечером сделаю и отпишусь. Спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
HelpSeeker 0 Опубликовано 15 мая, 2016 Автор Share Опубликовано 15 мая, 2016 Прилагаю лог Malwarebytes' Anti-Malware. Надеюсь, все сделали правильно. Спасибо! mb-log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 15 мая, 2016 Share Опубликовано 15 мая, 2016 Удалите в MBAM все, кроме: Файлы: 286 Trojan.FakePDF, C:\Program Files\xerox\Xerox Phaser 3124\Install\data\Ssopen.exe, , [a7886b6b3b5e270f1f08ffb8857bbf41], После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Цитата Ссылка на сообщение Поделиться на другие сайты
HelpSeeker 0 Опубликовано 15 мая, 2016 Автор Share Опубликовано 15 мая, 2016 Удалить вручную или стоит воспользоваться какой-либо программой? Касперский и ESET его не обнаружили. Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 удалять в MBAM Цитата Ссылка на сообщение Поделиться на другие сайты
HelpSeeker 0 Опубликовано 16 мая, 2016 Автор Share Опубликовано 16 мая, 2016 Удалил. Прилагаю новый лог. mbam-log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 (изменено) Судя по логу ничего не удалили. http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/ Изменено 16 мая, 2016 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
HelpSeeker 0 Опубликовано 16 мая, 2016 Автор Share Опубликовано 16 мая, 2016 Простите, возможно я вас неправильно понял. Я удалил вредоносное ПО, распознанное как Trojan.FakePDF, в точности соответствуя инструкции. В новом логе я больше упоминания сего объекта не вижу. И MBAM его тоже не видит, тобишь повторно я его удалить не могу. Что-то нужно было удалить помимо него? Прилагаю предыдущий лог (как я понимаю, сделанный до повторного сканрования, но я не уверен) и скриншот, подтверждающий, что вышеназванный троян в карантине. mbam-log-prev.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 мая, 2016 Share Опубликовано 16 мая, 2016 Я удалил вредоносное ПО, распознанное как Trojan.FakePDF, в точности соответствуя инструкции. А вы моей запятой не заметили перед словом кроме? Цитата Ссылка на сообщение Поделиться на другие сайты
HelpSeeker 0 Опубликовано 16 мая, 2016 Автор Share Опубликовано 16 мая, 2016 Я удалил вредоносное ПО, распознанное как Trojan.FakePDF, в точности соответствуя инструкции. А вы моей запятой не заметили перед словом кроме? Я и кроме не заметил. Пошел чистить. И покупать очки... Вышеназванный троян можно вернуть из карантина? Цитата Ссылка на сообщение Поделиться на другие сайты
HelpSeeker 0 Опубликовано 16 мая, 2016 Автор Share Опубликовано 16 мая, 2016 Новый лог. Надеюсь, на этот раз я не ступил. mbam-log-new.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 мая, 2016 Share Опубликовано 17 мая, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
HelpSeeker 0 Опубликовано 17 мая, 2016 Автор Share Опубликовано 17 мая, 2016 Пожалуйста. FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.