Перейти к содержанию

Вирус-шифровальщик [Shade Ransomware]

Татьяна2016
 Share

Рекомендуемые сообщения

Татьяна2016 Новичок

Татьяна2016

Опубликовано
Опубликовано (изменено)

Доброго вечера!

Получила письмо якобы из Ростелекома с вложенным счетом. Файл архивный, после распакования файл не запустился, после перезагрузки компьютера на черном экране появилась красная надпись, что все файлы зашифрованы и для расшифровки необходимо следовать указаниям во вновь образованных файлах README.TXT Все файлы имеют расширение .NJ_MORE_RANSOM

CollectionLog-2016.11.30-21.45.zip

Изменено пользователем Татьяна2016
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\Users\Павел\AppData\Roaming\cppredistx86.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Driver Booster SkipUAC (Павел)','64');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CloseProcesses:
2016-11-30 16:31 - 2016-11-30 22:48 - 00004832 _____ C:\Users\Павел\AppData\Roaming\offline.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 03932214 _____ C:\Users\Павел\AppData\Roaming\55F39F5055F39F50.bmp
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README9.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README8.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README7.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README6.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README5.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README4.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README3.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README2.txt
2016-11-30 15:30 - 2016-11-30 15:30 - 00004170 _____ C:\Users\Павел\Desktop\README10.txt
2016-11-30 14:57 - 2016-11-30 22:42 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-30 14:57 - 2016-11-30 22:42 - 00000000 __SHD C:\ProgramData\Windows
2016-10-30 13:38 - 2016-10-30 21:45 - 0000035 _____ () C:\Users\Павел\AppData\Roaming\strt.bat
2016-11-08 11:36 - 2016-12-01 07:07 - 0000026 _____ () C:\Users\Павел\AppData\Roaming\temp.bat
2016-11-08 11:35 - 2016-11-08 11:35 - 0000493 _____ () C:\Users\Павел\AppData\Roaming\update.bat
Task: {E427DC3F-5B73-4732-9DC7-3367811BA6AC} - \Driver Booster SkipUAC (Павел) -> No File <==== ATTENTION
zip:C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт).

 

Восстанавливайте http://virusinfo.info/showthread.php?t=156188&p=1252582&viewfull=1#post1252582что сможете на флешку

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • boshs
      вирус шифровальщик UUUUUU.uuu
      От boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      От Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      От CreativeArch
      Log.7z
    • sater123
      Вирус шифровальщик
      От sater123
      Добрый день. Зашифровались файлы размером более 8 мегабайт (их почта datastore@cyberfear.com). Помогите пожалуйста.
      Зашифрованные файлы не могу прикрепить, так как их размер более 5Мб.
      FRST.txt Addition.txt
    • Елена9999999
      Вирус-шифровальщик. Возможно ли восстановить документы?
      От Елена9999999
      Здравствуйте, 
      На компьютер попал вирус. Теперь все файлы с расширением gxGxvJCWI. Везде требования об их выкупе. Можно ли как-то восстановить файлы? 
×
×
  • Создать...