LEN74 0 Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 Здравствуйте поймали вирус-шифровальщик, ( пришло письмо на почту вложенный файл оказался с расширением js., файлы зашифрованы "KUKARACHA" (.kukaracha) при запуске компьютера открывается текстовый документ "ПРОЧТИ МЕНЯ", след. содержания: Ваши файлы зашифрованы с использованием криптостойкого алгоритма RSA-2048.Если хотите их вернуть отправьте один из зашифрованных файлов и файл keycode.tta на e-mail: unlock92@india.comЕсли вы не получили ответа в течение суток то скачайте с сайта www.torproject.con браузер TOR и с его помощью зайдите на сайт:http://ezulxxtwqos5g736.onion- там будет указан действующий почтовый ящик. Попытки самостоятельного восстановления файлов могут безвозвратно их испортить! проверкой Kaspersky Virus Removal Tool 2015 обнаружен вирус: Trojan-Ransom.Win32.Scatter.lbФайл: C:\Users\Админ\AppData\Local\Temp\cmss.exeТроянская программа MD5: 6BEE511C779649A7FE989AED8B685268 SHA256: CF914E64A00E27CE5532082BCE518627412FC30E09FA5ED34270F17945CC9211 платить не стали, хотя утеряны доки за 10 лет , почитала на форумах, что расшифровать не получится, тем более что один "спец" уже попробовал сам лечить, в итоге предложили переустановить систему, но некоторые файлы не за шифровались, и программки работают, например бизнес-пак, а у нас там документы с 2006года. Точки восстановления системы нет, флешка с базами и сохраненными доками тоже закукарачилась (как раз когда шифровальщик активировался с флешкой работали) Есть старая флешка но на ней инфа трехлетней давности, поэтому не хочется сносить систему, заражение было 02.12.16, после этого на компе делали новые документы - те что в ворде и JPEG не защифровываются, а в эхl когда открываются паралельно открывается еще два табличных документа с каракулями, но основной не изменяется. Подскажите как почистить комп чтобы удалить все вирусы и сохранить не поврежденную информацию. и есть ли возможность как то сохранить файлы - может через какое то время появится возможность их расшифровать. Проверку KVRT сделала но вирус ещё не удаляла CollectionLog-2016.12.13-12.31.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 14 декабря, 2016 Share Опубликовано 14 декабря, 2016 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
LEN74 0 Опубликовано 15 декабря, 2016 Автор Share Опубликовано 15 декабря, 2016 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Добрый день прикрепляю полученные отчеты ClearLNK-15.12.2016_13-32.log FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 15 декабря, 2016 Share Опубликовано 15 декабря, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode1.tta [2016-12-02] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode2.tta [2016-12-02] () Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] () Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] () GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-824696509-2698304537-1489227355-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION C:\Users\Админ\AppData\Local\Temp\cmss.exe Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Ссылка на сообщение Поделиться на другие сайты
LEN74 0 Опубликовано 16 декабря, 2016 Автор Share Опубликовано 16 декабря, 2016 ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows! Временно выгрузите антивирус, файрволл и прочее защитное ПО. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode1.tta [2016-12-02] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\keycode2.tta [2016-12-02] () Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\--------ПРОЧТИ МЕНЯ--------.txt [2016-12-02] () Startup: C:\Users\Админ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\keycode.tta [2016-12-02] () GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-824696509-2698304537-1489227355-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION C:\Users\Админ\AppData\Local\Temp\cmss.exe Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму Прикрепляю созданный лог-файл Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 16 декабря, 2016 Share Опубликовано 16 декабря, 2016 AV: avast! Antivirus (Enabled - Out of date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти