Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Вирус

Shevarev46

Автор Shevarev46
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Shevarev46

Shevarev46

Опубликовано
Опубликовано (изменено)

email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-@@@@@EECE-3334 .........................

Поймал такую чудо штуку шифровальщика. на зашифрованные файлы и прочее особо как то не смотрю, да и расшифровывать их мне не зачем, они есть у меня на 3х других серваках. Интересует вопрос как полностью УДАЛИТЬ эту заразу с компьютера??? Внятного объяснения так и не нашел. кто что знает? если не сложно дублируйте ответ на почту: 

Заранее всем благодарен.

Изменено пользователем mike 1
Почта удалена. Никогда не светите свою почту, а то попадете в спам базы!
Shevarev46

Shevarev46

Опубликовано
  • Автор
Опубликовано (изменено)

email-vpupkin3@aol.com.ver-CL 1.3.1.0.id-@@@@@EECE-3334 .........................

Поймал такую чудо штуку шифровальщика. на зашифрованные файлы и прочее особо как то не смотрю, да и расшифровывать их мне не зачем, они есть у меня на 3х других серваках. Интересует вопрос как полностью УДАЛИТЬ эту заразу с компьютера??? Внятного объяснения так и не нашел. кто что знает? если не сложно дублируйте ответ на почту: 

Заранее всем благодарен.

CollectionLog-2016.10.25-14.47.zip

Изменено пользователем mike 1
Sandor

Sandor

Опубликовано
Опубликовано

Если в перечне установленных программ есть

Служба автоматического обновления программ

удалите.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Ran by Диспетчер (ATTENTION: The user is not administrator) on WIN-HK1F8Q68GON (25-10-2016 15:06:02)

Нужно от имени администратора. Переделайте, пожалуйста.
Sandor

Sandor

Опубликовано
Опубликовано

Включите Восстановление системы.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\Downloads\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\Documents\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\AppData\Roaming\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-10-25 07:59 - 2016-10-25 07:59 - 00000070 _____ C:\Users\Диспетчер\AppData\README.txt
2016-10-25 07:57 - 2016-10-25 07:57 - 00000070 _____ C:\Users\Диспетчер\AppData\LocalLow\README.txt
2016-10-25 07:54 - 2016-10-25 07:54 - 00000070 _____ C:\Users\Диспетчер\AppData\Local\Temp\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\Downloads\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\Documents\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\Desktop\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\AppData\Roaming\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
2016-10-25 07:50 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Администратор\AppData\README.txt
2016-10-25 07:49 - 2016-10-25 07:49 - 00000070 _____ C:\Users\Администратор\AppData\LocalLow\README.txt
2016-10-25 07:49 - 2016-10-25 07:49 - 00000070 _____ C:\Users\Администратор\AppData\Local\Temp\README.txt
2016-10-25 07:41 - 2016-10-25 07:41 - 00000070 _____ C:\Users\Public\README.txt
2016-10-25 07:41 - 2016-10-25 07:41 - 00000070 _____ C:\Users\Public\Downloads\README.txt
2016-10-25 07:40 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Все пользователи\README.txt
2016-10-25 07:40 - 2016-10-25 07:50 - 00000070 _____ C:\Users\Public\Documents\README.txt
2016-10-25 07:40 - 2016-10-25 07:50 - 00000070 _____ C:\ProgramData\README.txt
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [SCW-Allow-Inbound-Access-To-ScsHost-TCP-RPC-EndPointMapper] => (Allow) %systemroot%\system32\scshost.exe
FirewallRules: [{3788CF72-21A2-496D-B64F-255CAA9143B7}] => (Allow) C:\Users\Диспетчер\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{F585EB72-C7DF-437E-AD3A-2CDE490F7038}] => (Allow) C:\Users\Диспетчер\AppData\Local\MediaGet2\mediaget.exe
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Вручную перезагрузите компьютер.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Следы вымогателя очищены. Для проверки уязвимых мест:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18350 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено (-1)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

FileZilla Client 3.21.0 v.3.21.0 Внимание! Скачать обновления

TeamViewer 11 v.11.0.66695

LibreOffice 5.2.1.2 v.5.2.1.2 Внимание! Скачать обновления

TeamViewer 11 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 22 NPAPI v.22.0.0.209 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Shevarev46

Shevarev46

Опубликовано
  • Автор
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18350 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено (-1)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен доменный профиль Брандмауэра Windows

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления

FileZilla Client 3.21.0 v.3.21.0 Внимание! Скачать обновления

TeamViewer 11 v.11.0.66695

LibreOffice 5.2.1.2 v.5.2.1.2 Внимание! Скачать обновления

TeamViewer 11 (TeamViewer) - Служба работает

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.28 v.7.28.101 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 22 NPAPI v.22.0.0.209 Внимание! Скачать обновления

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

т.е. шифровальщика нет уже? просто скачать и установить обновления? я правильно понял?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • СергейПенза
      Вирус шифровальщик *zmsgrcl
      Автор СергейПенза
      Здравствуйте! Вирус зашифровал офисные файлы, .pdf, .jpeg, архивы. У всех файлов добавлено расширение .zmsgrcl
      Прикрепляю 2 версии одного файла, зашифрованную и обычную, рабочую, так же CureIt нашел тело вируса(2 файла с одинаковым размером, но разными именами), временная активность совпадает с временем поражения. Так же прикрепляю логи. Пароль на архив infected
      Заранее спасибо!
       

      Строгое предупреждение от модератора Roman_Five Зловреда выкладывать не надо! CollectionLog-2015.01.29-11.52.zip
    • vi-ego
      Вирус-шифровальщик
      Автор vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
    • vkams
      Шифровальщик .no_more_ransom [Shade Ransomware]
      Автор vkams
      Пользовательница открыла .zip-файл якобы из налоговой. По её словам, антивирус nod32 предупредил и, вроде, не дал выполнить. Через 30 мин, заметив проблемы с базой The bat! (часть писем не показывалась), обратилась ко мне. Я обнаружил признаки шифрования, по одной из тем в этом разделе убил 'C:\ProgramData\Windows\csrss.exe' с помощью AVZ, но огромное количество файлов и папок уже зашифрованы. Последующая проверка с помощью Kaspresky Security Scan, DrWeb CureIt!, Malwarebytes показали, что других заражений нет. Отчёты FRST прилагаю. 
       
      Есть ли расшифровщик?

      Папка quarantine была пустой, так что, может, ничего при запуске AVZ и не убилось, разве что перезагрузка прервала работу шифровальщика. Действовал в цейтноте, не слишком разумно... .
      Addition.zip
      FRST.zip
    • ArtMaster7
      Шифровщик email-moshiax@aol.com
      Автор ArtMaster7
      Доброго времени суток.
      Помогите....
      Получил 02.12.2015 письмо из налоговой, открыл и появились проблемы....
       
      CollectionLog-2016.01.17-01.05.zip
    • dezent17
      [РАСШИФРОВАНО] Шифровальщик honestandhope@qq.com
      Автор dezent17
      Добрый день!
      Поймал шифровальщик 3 года назад, оставил в надежде на появление решений по его расшифровке. Прочитал, что есть случаи разблокировки с данным email
      Система была переустановлена и остались лишь зашифрованные файлы с how_to_decrypt.hta
      Прошу помочь расшифровать
      Прикрепляю файлы для проверки, пароль 1111
       
      Спасибо!
      files.zip
×
×
  • Создать...