Перейти к содержанию

Неполно сработавший шифровальщик

YOlgaI
 Поделиться

Рекомендуемые сообщения

YOlgaI

YOlgaI

Опубликовано
Опубликовано

Поймала какой-то, к счастью, "неполный" шифровальщик. Стационарный компьютер, система WIN 10 Pro, версия 1607; 64-разрядный.

 

Защита была, видимо зря, ESET Smart Security, которая отключила собственную защиту системы. Она стояла на Win7, после автоматической переустановки на Win 10 сохранилась.

 

Шифровальщик работал не так. как на ноутбуке мужа. Он очень медленно включился и оставил следы на флешке с Robofom'ом в виде Readme файлов. Я тогда не поняла, что это. Этой программой пользуемся и я, и муж. Она работает давно и проблем до сих пор не было.

 

Прошло дней пять, и эти же Readme появились на одном из разбитых дисков. Но вирус зашифровал маленькую часть папок, все остальные даже со странным значком остались действующими. Я срочно все переписала.

 

На нескольких дисках он вообще не сработал (не успел?).

 

Согласно указаниям Sendor в прошлом случае. я собрала все логи и проверки, которые и прилагаю.

 

Благодарю за помощь, Ольга

CollectionLog-2016.12.22-12.23.zip

report1.log

report2.log

Addition.txt

FRST.txt

Shortcut.txt

FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\ProgramData\Windows
Task: {7722C180-727E-4A54-8907-06610E3E5CF1} - no filepath
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
YOlgaI

YOlgaI

Опубликовано
  • Автор
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\ProgramData\Windows
Task: {7722C180-727E-4A54-8907-06610E3E5CF1} - no filepath
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Прикрепляю лог-файл. Спасибо!

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здесь тоже пробуйте стандартно:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • vaz21102
      Вирус-шифровальщик на серверах
      Автор vaz21102
      В домене все сервера выдают сообщение "All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com". Рабочий стол не грузиться.К имени файлов на серверах добавился текст "id-1A54EC80.[smith11@keemail.me].Aim"
      Addition.txt FRST.txt hijackthis.log virus.rar
    • thyrex
      Обновленный ShadeDecryptor
      Автор thyrex
      Здравствуйте, Евгений Валентинович.
       
      Вы конечно же в курсе, что недавно группа, занимавшаяся распространением вируса-шифровальщика Shade, официально объявила о завершении своей деятельности и предоставила антивирусным компаниям все ключи, необходимые для расшифровки файлов пользователей, пострадавших от их шифровальщика, коих оказалось около 750 тысяч. Ваши сотрудники оперативно обновили утилиту для расшифровки, за что им честь и хвала. Однако без ложки дегтя не обошлось: утилита по-прежнему просит от пострадавших указать путь к одному из файлов README[1-10].txt с информацией, необходимой для оперативного выбора ключа. А как быть пользователям, которые благополучно сохранили пострадавшие файлы с прицелом на будущее, переустановили систему, а файлов README не сохранили? Не могли бы Вы попросить автора утилиты ShadeDecryptor предусмотреть возможность простого перебора всех имеющихся ключей при отсутствии необходимого файла с информацией? Кроме того, службе веб-поддержки также необходимо обновить информацию  о данной утилите на сайте https://support.kaspersky.ru/viruses/utility .
       
      Спасибо за содействие.
    • me4dy
      Вирус зашифровал файлы. Расширение .Enter
      Автор me4dy
      Вирус зашифровал файлы на компьютере. Расширение новых файлов .Enter
      В письме от вымогателей указана почта
      enter_software@aol.com
      enter_software@india.com
       
      Прошу помощи. Если необходимо то есть файлы .pdf до и после шифрования
      CollectionLog-2018.11.20-14.12.zip
      report1.log
      report2.log
    • Вячеслав Черныш
      Шифровальщик COMBO
      Автор Вячеслав Черныш
      Вирус зашифровал все документы, фото, архивы на сервере (расшаренная папка и диск Д), диск Ц при этом остался не затронутым. Помогите, добрые люди. Рабочие файлы и бухгалтерия "ляпнули". ( 
      Высылаю Отчеты сканирования и сбор логов. Имеются так же идентичные файлы ДО и После заражения 
      Заранее благодарен

      Добавил архив с зашифрованным и здоровым файлами
      CollectionLog-2018.08.16-12.07.zip

      files.rar
×
×
  • Создать...