no_more_ransom

24 декабря, 2016

Добрый день!

Знакомая словила по почте вирус, который зашифровал файлы на диске. Мошенники за восстановление запросили 11тр. Есть ли возможность восстановить с вашей помощью данные? Лог по инструкции прикрепляю. Cureit обнаружил 8 вирусов, перенес в карантин.

ПОМОГИТЕ!

CollectionLog-2016.12.24-12.36.zip

24 декабря, 2016

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

24 декабря, 2016

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Сканировать" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

По первой программе не понял где брать отчет CheckBrowsersLNK(3 пункт)

По ADWCleaner отчет прилагаю.

AdwCleanerS0.txt

Изменено 24 декабря, 2016 пользователем chkof

24 декабря, 2016

В папке автологгера.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

24 декабря, 2016

Разобрался, добавляю отчёт.

В папке автологгера.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/7/8/8.1/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Готово.

ClearLNK-24.12.2016_23-41.log

AdwCleanerC0.txt

24 декабря, 2016

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

24 декабря, 2016

Готово

Addition.txt

FRST.txt

25 декабря, 2016

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Есть шансы что-то восстановить?

26 декабря, 2016

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicy\User: Restriction ? <======= ATTENTION
GroupPolicyUsers\S-1-5-21-117401385-792315534-4217955218-1002\User: Restriction <======= ATTENTION
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [216648 2014-11-05] (Baidu)
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
2016-12-21 20:29 - 2016-12-21 20:29 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\25DA4D7425DA4D74.bmp
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README9.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README8.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README7.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README6.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README5.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README4.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README3.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README2.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README10.txt
2016-12-21 14:25 - 2016-12-21 22:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-21 14:25 - 2016-12-21 22:18 - 00000000 __SHD C:\ProgramData\Windows
2016-12-21 20:29 - 2016-12-21 20:29 - 3148854 _____ () C:\Users\Lenovo\AppData\Roaming\25DA4D7425DA4D74.bmp
FirewallRules: [{0BACF881-DFA7-4B32-8B75-1F0C8CAEDFE6}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{869BE8CD-60E9-4CBD-B87B-B202CEBE43F7}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{EF59EB48-1D5F-47BF-B003-2786F35BD79F}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{F0DAB2EC-0D3C-4182-A42E-C42A7D1D5977}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{2E6F9BB8-C5A9-4A2E-86A1-0791D0D6FF63}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{62C17612-AB71-4147-9D17-53B7FBD00A08}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{09F347D6-6E83-493C-9C86-B5B5C187E7E6}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

2 января, 2017

Всех с Новым годом!

Готово.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
GroupPolicy\User: Restriction ? <======= ATTENTION
GroupPolicyUsers\S-1-5-21-117401385-792315534-4217955218-1002\User: Restriction <======= ATTENTION
R1 BDMWrench; C:\Windows\System32\DRIVERS\BDMWrench.sys [216648 2014-11-05] (Baidu)
S1 bd0001; system32\DRIVERS\bd0001.sys [X]
S1 bd0002; system32\DRIVERS\bd0002.sys [X]
2016-12-21 20:29 - 2016-12-21 20:29 - 03148854 _____ C:\Users\Lenovo\AppData\Roaming\25DA4D7425DA4D74.bmp
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README9.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README8.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README7.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README6.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README5.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README4.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README3.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README2.txt
2016-12-21 20:29 - 2016-12-21 20:29 - 00004154 _____ C:\Users\Lenovo\Desktop\README10.txt
2016-12-21 14:25 - 2016-12-21 22:18 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-12-21 14:25 - 2016-12-21 22:18 - 00000000 __SHD C:\ProgramData\Windows
2016-12-21 20:29 - 2016-12-21 20:29 - 3148854 _____ () C:\Users\Lenovo\AppData\Roaming\25DA4D7425DA4D74.bmp
FirewallRules: [{0BACF881-DFA7-4B32-8B75-1F0C8CAEDFE6}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{869BE8CD-60E9-4CBD-B87B-B202CEBE43F7}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{EF59EB48-1D5F-47BF-B003-2786F35BD79F}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{F0DAB2EC-0D3C-4182-A42E-C42A7D1D5977}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{2E6F9BB8-C5A9-4A2E-86A1-0791D0D6FF63}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{62C17612-AB71-4147-9D17-53B7FBD00A08}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
FirewallRules: [{09F347D6-6E83-493C-9C86-B5B5C187E7E6}] => C:\Program Files\Common Files\Baidu\BDDownload\108\bddownloader.exe
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Какие дальнейшие действия? Вирус удалён? Можно ли попытаться расшифровать данные?

Fixlog.txt

Изменено 2 января, 2017 пользователем chkof

7 января, 2017

Подскажите, что ещё можно сделать? По логам видно что вирус удален?

8 января, 2017

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). Пишите запрос https://forum.kasperskyclub.ru/index.php?showtopic=48525

no_more_ransom

Рекомендуемые сообщения

chkof

mike 1

chkof

mike 1

chkof

mike 1

chkof

chkof

mike 1

chkof

chkof

mike 1

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum