Перейти к содержанию

Рекомендуемые сообщения

Поймала какой-то, к счастью, "неполный" шифровальщик. Стационарный компьютер, система WIN 10 Pro, версия 1607; 64-разрядный.

 

Защита была, видимо зря, ESET Smart Security, которая отключила собственную защиту системы. Она стояла на Win7, после автоматической переустановки на Win 10 сохранилась.

 

Шифровальщик работал не так. как на ноутбуке мужа. Он очень медленно включился и оставил следы на флешке с Robofom'ом в виде Readme файлов. Я тогда не поняла, что это. Этой программой пользуемся и я, и муж. Она работает давно и проблем до сих пор не было.

 

Прошло дней пять, и эти же Readme появились на одном из разбитых дисков. Но вирус зашифровал маленькую часть папок, все остальные даже со странным значком остались действующими. Я срочно все переписала.

 

На нескольких дисках он вообще не сработал (не успел?).

 

Согласно указаниям Sendor в прошлом случае. я собрала все логи и проверки, которые и прилагаю.

 

Благодарю за помощь, Ольга

CollectionLog-2016.12.22-12.23.zip

report1.log

report2.log

Addition.txt

FRST.txt

Shortcut.txt

FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\ProgramData\Windows
Task: {7722C180-727E-4A54-8907-06610E3E5CF1} - no filepath
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKU\S-1-5-21-188205215-2440566562-4132300120-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-14 09:41 - 2016-12-14 17:57 - 00000000 __SHD C:\ProgramData\Windows
Task: {7722C180-727E-4A54-8907-06610E3E5CF1} - no filepath
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Прикрепляю лог-файл. Спасибо!

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Здесь тоже пробуйте стандартно:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Svetlana1965
      Здравствуйте, уважаемые сотрудники форума! Я к вам с огромной просьбой. Помогите, пожалуйста, расшифровать мои файлы после вируса - шифровальщика (как я узнала позже). Теперь все мои файлы зашифрованы с расширением .zip и имеют название "932 Фaйл зaшифрoвaн [petrov441@protonmail.com] wannacash". Пожалуйста, подскажите, что мне нужно сделать. Утеряны все фотографии моих детей и внуков, файлы по работе. Так расстроена. Видео и музыка не тронуты.  
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь  
    • От vaz21102
      В домене все сервера выдают сообщение "All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail Smith1@mailfence.com". Рабочий стол не грузиться.К имени файлов на серверах добавился текст "id-1A54EC80.[smith11@keemail.me].Aim"
      Addition.txt FRST.txt hijackthis.log virus.rar
    • От isavr
      Друзья, подскажите что делать? первый раз поймал шифровальщика
      sample.zip FRST.txt Addition.txt
    • От thyrex
      Здравствуйте, Евгений Валентинович.
       
      Вы конечно же в курсе, что недавно группа, занимавшаяся распространением вируса-шифровальщика Shade, официально объявила о завершении своей деятельности и предоставила антивирусным компаниям все ключи, необходимые для расшифровки файлов пользователей, пострадавших от их шифровальщика, коих оказалось около 750 тысяч. Ваши сотрудники оперативно обновили утилиту для расшифровки, за что им честь и хвала. Однако без ложки дегтя не обошлось: утилита по-прежнему просит от пострадавших указать путь к одному из файлов README[1-10].txt с информацией, необходимой для оперативного выбора ключа. А как быть пользователям, которые благополучно сохранили пострадавшие файлы с прицелом на будущее, переустановили систему, а файлов README не сохранили? Не могли бы Вы попросить автора утилиты ShadeDecryptor предусмотреть возможность простого перебора всех имеющихся ключей при отсутствии необходимого файла с информацией? Кроме того, службе веб-поддержки также необходимо обновить информацию  о данной утилите на сайте https://support.kaspersky.ru/viruses/utility .
       
      Спасибо за содействие.
    • От me4dy
      Вирус зашифровал файлы на компьютере. Расширение новых файлов .Enter
      В письме от вымогателей указана почта
      enter_software@aol.com
      enter_software@india.com
       
      Прошу помощи. Если необходимо то есть файлы .pdf до и после шифрования
      CollectionLog-2018.11.20-14.12.zip
      report1.log
      report2.log
×
×
  • Создать...