Перейти к содержанию

Рекомендуемые сообщения

Мой муж находится в больнице и пользовался на своем ноутбуке открытой сетью WiFi. Во время работы он обращался к интернету, потом у него появилась на компьютере надпись: "Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах Readme.txt, которые можно найти на любом из дисков".

Все его рабочие файлы зашифрованы (в частности вордовские и рисуночные файлы с основными распространенными расширениями). Однако, есть впечатление, что последняя ноябрьская резервная копия может быть незашифрованной, хотя на этом диске стоят 10 штук Readme.

Как сказано в инструкции, пыталась отключить антивирус (у него NOD32) и Windows Firewall, они не отключаются. NOD требует пароль, но на пароль не реагирует.

 

На ноутбуке стоит Windows 10 Домашняя, 32 разрядная. Защитник Win был отключен, видимо, NOD-ом.

 

Спасибо за помощь, Ольга

CollectionLog-2016.12.16-16.41.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Сделала проверку еще раз. прилагаю получившиеся файлы. Надеюсь, теперь все файлы будут полными.

 

Спасибо за помощь, Ольга

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
HKU\S-1-5-21-1439734986-1259156826-2354351648-1000\...0c966feabec1\InprocServer32: [Default-shell32]  ATTENTION
HKU\S-1-5-21-1439734986-1259156826-2354351648-1000\...409d6c4515e9\InprocServer32: [Default-shell32]  <==== ATTENTION
HKU\S-1-5-21-1439734986-1259156826-2354351648-1000\...\InprocServer32: [Default-pngfilt]  <==== ATTENTION
HKU\S-1-5-21-1439734986-1259156826-2354351648-1000\...A8F59079A8D5}\localserver32:  <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-1439734986-1259156826-2354351648-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: (CouponDownloader) - C:\Users\Mikhail\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\j004-efxyrmbzyotmaw@jetpack.xpi [2014-07-28] [not signed]
FF Extension: (No Name) - C:\Users\Mikhail\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\yasearch@yandex.ru [2016-12-14] [not signed]
2016-12-15 10:09 - 2016-12-15 10:09 - 03072054 _____ C:\Users\Mikhail\AppData\Roaming\4570A33C4570A33C.bmp
2016-12-15 10:06 - 2016-12-15 10:10 - 00000000 __SHD C:\Users\Все пользователи\System32
2016-12-15 10:06 - 2016-12-15 10:10 - 00000000 __SHD C:\ProgramData\System32
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README9.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README8.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README7.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README6.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README5.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README4.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README3.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README2.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README10.txt
2016-12-15 10:06 - 2016-12-15 10:06 - 00004162 _____ C:\Users\Mikhail\Desktop\README1.txt
2016-12-14 09:19 - 2016-12-16 12:43 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 09:19 - 2016-12-16 12:43 - 00000000 __SHD C:\ProgramData\Windows
AlternateDataStreams: C:\Users\Mikhail\Documents\KIItofS8k-cGxCBn2a8XBesegyYvaR07U3Eu3imjInA=.A42C1A3810563B70C6A3.no_more_ransom:com.dropbox.attributes [168]
AlternateDataStreams: C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Радио ЭХО Москвы.website:TASKICON_0blogs1650577224 [2302]
AlternateDataStreams: C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Радио ЭХО Москвы.website:TASKICON_1interview_text404604325 [2302]
AlternateDataStreams: C:\Users\Mikhail\AppData\Roaming\Microsoft\Windows\Start Menu\Радио ЭХО Москвы.website:TASKICON_2video178500777 [2302]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Большое спасибо! Буду выбирать теховские файлы, они не повреждены. Повреждены только файлы с самыми распространенными расширениями.

Ссылка на сообщение
Поделиться на другие сайты

Смените важные пароли, могли быть украдены. Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Смените важные пароли, могли быть украдены. Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению

Sandor, большое спасибо. Прикрепляю файл.

У меня возникла почти аналогичная проблема на моем стационарном компьютере. Но там она прошла как-то "вяло": несмотря на всякие значки почти ничто не зашифровалось. Я открою новое обращение, куда вложу все файлы, сделанные по образцу этого случая.

 

 

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

Я открою новое обращение

Хорошо.

 

Прикрепленные файлы

Почему-то отчет пустой. Переделайте еще раз.
Ссылка на сообщение
Поделиться на другие сайты

Попробуйте Портативную версию SecurityCheck.

 

Если тоже не получится, сделайте так:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Svetlana1965
      Здравствуйте, уважаемые сотрудники форума! Я к вам с огромной просьбой. Помогите, пожалуйста, расшифровать мои файлы после вируса - шифровальщика (как я узнала позже). Теперь все мои файлы зашифрованы с расширением .zip и имеют название "932 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash". Пожалуйста, подскажите, что мне нужно сделать. Утеряны все фотографии моих детей и внуков, файлы по работе. Так расстроена. Видео и музыка не тронуты.  
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • От vaz21102
      В домене все сервера выдают сообщение "All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com". Рабочий стол не грузиться.К имени файлов на серверах добавился текст "id-1A54EC80.[smith11@keemail.me].Aim"
      Addition.txt FRST.txt hijackthis.log virus.rar
    • От isavr
      Друзья, подскажите что делать? первый раз поймал шифровальщика
      sample.zip FRST.txt Addition.txt
    • От thyrex
      Здравствуйте, Евгений Валентинович.
       
      Вы конечно же в курсе, что недавно группа, занимавшаяся распространением вируса-шифровальщика Shade, официально объявила о завершении своей деятельности и предоставила антивирусным компаниям все ключи, необходимые для расшифровки файлов пользователей, пострадавших от их шифровальщика, коих оказалось около 750 тысяч. Ваши сотрудники оперативно обновили утилиту для расшифровки, за что им честь и хвала. Однако без ложки дегтя не обошлось: утилита по-прежнему просит от пострадавших указать путь к одному из файлов README[1-10].txt с информацией, необходимой для оперативного выбора ключа. А как быть пользователям, которые благополучно сохранили пострадавшие файлы с прицелом на будущее, переустановили систему, а файлов README не сохранили? Не могли бы Вы попросить автора утилиты ShadeDecryptor предусмотреть возможность простого перебора всех имеющихся ключей при отсутствии необходимого файла с информацией? Кроме того, службе веб-поддержки также необходимо обновить информацию  о данной утилите на сайте https://support.kaspersky.ru/viruses/utility .
       
      Спасибо за содействие.
    • От me4dy
      Вирус зашифровал файлы на компьютере. Расширение новых файлов .Enter
      В письме от вымогателей указана почта
      enter_software@aol.com
      enter_software@india.com
       
      Прошу помощи. Если необходимо то есть файлы .pdf до и после шифрования
      CollectionLog-2018.11.20-14.12.zip
      report1.log
      report2.log
×
×
  • Создать...