Ноутбук зашифровали

19 декабря, 2016

Мой муж находится в больнице и пользовался на своем ноутбуке открытой сетью WiFi. Во время работы он обращался к интернету, потом у него появилась на компьютере надпись: "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах Readme.txt, которые можно найти на любом из дисков".

Все его рабочие файлы зашифрованы (в частности вордовские и рисуночные файлы с основными распространенными расширениями). Однако, есть впечатление, что последняя ноябрьская резервная копия может быть незашифрованной, хотя на этом диске стоят 10 штук Readme.

Как сказано в инструкции, пыталась отключить антивирус (у него NOD32) и Windows Firewall, они не отключаются. NOD требует пароль, но на пароль не реагирует.

На ноутбуке стоит Windows 10 Домашняя, 32 разрядная. Защитник Win был отключен, видимо, NOD-ом.

Спасибо за помощь, Ольга

CollectionLog-2016.12.16-16.41.zip

19 декабря, 2016

Здравствуйте!

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

19 декабря, 2016

Спасибо, прикрепляю файлы

Addition.txt

FRST.txt

Shortcut.txt

19 декабря, 2016

Лог FRST.txt получился неполный. Переделайте, пожалуйста.

20 декабря, 2016

Сделала проверку еще раз. прилагаю получившиеся файлы. Надеюсь, теперь все файлы будут полными.

Спасибо за помощь, Ольга

Addition.txt

FRST.txt

Shortcut.txt

20 декабря, 2016

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKU\S-1-5-21-1439734986-1259156826-2354351648-1000\...0c966feabec1\InprocServer32: [Default-shell32]  ATTENTION
HKU\S-1-5-21-1439734986-1259156826-2354351648-1000\...409d6c4515e9\InprocServer32: [Default-shell32]  <==== ATTENTION
HKU\S-1-5-21-1439734986-1259156826-2354351648-1000\...\InprocServer32: [Default-pngfilt]  <==== ATTENTION
HKU\S-1-5-21-1439734986-1259156826-2354351648-1000\...A8F59079A8D5}\localserver32:  <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1439734986-1259156826-2354351648-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (CouponDownloader) - C:\Users\Mikhail\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\j004-efxyrmbzyotmaw@jetpack.xpi [2014-07-28] [not signed]
FF Extension: (No Name) - C:\Users\Mikhail\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru [2016-12-14] [not signed]
2016-12-15 10:09 - 2016-12-15 10:09 - 03072054 _____ C:\Users\Mikhail\AppData\Roaming\4570A33C4570A33C.bmp
2016-12-15 10:06 - 2016-12-15 10:10 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-15 10:06 - 2016-12-15 10:10 - 00000000 __SHD C:\ProgramData\System32
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README9.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README8.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README7.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README6.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README5.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README4.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README3.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README2.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README10.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README1.txt
2016-12-14 09:19 - 2016-12-16 12:43 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 09:19 - 2016-12-16 12:43 - 00000000 __SHD C:\ProgramData\Windows
AlternateDataStreams: C:\Users\Mikhail\Documents\KIItofS8k-cGxCBn2a8XBesegyYvaR07U3Eu3imjInA=.A42C1A3810563B70C6A3.no_more_ransom:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Радио ЭХО Москвы.website:TASKICON_0blogs1650577224 [2302]
AlternateDataStreams: C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Радио ЭХО Москвы.website:TASKICON_1interview_text404604325 [2302]
AlternateDataStreams: C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Радио ЭХО Москвы.website:TASKICON_2video178500777 [2302]
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

20 декабря, 2016

Я не могу отключить антивирус, он не воспринимает пароль. Попробую так

Прикрепляю Fixlog

Fixlog.txt

20 декабря, 2016

Следы адвари и вымогателя очищены. С расшифровкой, к сожалению, помочь не сможем.

20 декабря, 2016

Большое спасибо! Буду выбирать теховские файлы, они не повреждены. Повреждены только файлы с самыми распространенными расширениями.

20 декабря, 2016

Смените важные пароли, могли быть украдены. Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

22 декабря, 2016

Смените важные пароли, могли быть украдены. Проверьте уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)

Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу

Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt

Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt

Прикрепите этот файл к своему следующему сообщению

Sandor, большое спасибо. Прикрепляю файл.

У меня возникла почти аналогичная проблема на моем стационарном компьютере. Но там она прошла как-то "вяло": несмотря на всякие значки почти ничто не зашифровалось. Я открою новое обращение, куда вложу все файлы, сделанные по образцу этого случая.

SecurityCheck.txt

22 декабря, 2016

Я открою новое обращение

Хорошо.

Прикрепленные файлы

Почему-то отчет пустой. Переделайте еще раз.

22 декабря, 2016

Маленький файл с одной строчкой внутри Securitycheck

SecurityCheck.txt

23 декабря, 2016

Попробуйте Портативную версию SecurityCheck.

Если тоже не получится, сделайте так:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ноутбук зашифровали

Рекомендуемые сообщения

YOlgaI

Sandor

YOlgaI

Sandor

YOlgaI

Sandor

YOlgaI

Sandor

YOlgaI

Sandor

YOlgaI

Sandor

YOlgaI

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum