Перейти к содержанию

письмо от Ростелеком-все файлы зашифрованы

anapa-snab
 Share

Рекомендуемые сообщения

mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\system32\Tasks\{43DBDDEF-4142-4429-95DB-45BADCEBF2E7}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{AA7EB05E-A13D-460F-82FB-737B07EECC36}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{FA704DBC-DCCC-4D22-9BCC-DB70891E771E}','64');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером.

Ссылка на комментарий
Поделиться на другие сайты
anapa-snab Новичок

anapa-snab

Опубликовано
  • Автор
Опубликовано

Добрый день. 

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 DeleteFile('C:\WINDOWS\system32\Tasks\{43DBDDEF-4142-4429-95DB-45BADCEBF2E7}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{AA7EB05E-A13D-460F-82FB-737B07EECC36}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{FA704DBC-DCCC-4D22-9BCC-DB70891E771E}','64');
ExecuteSysClean;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера.

Сделайте новые логи Автологгером.

 

 

CollectionLog-2017.01.23-09.01.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
anapa-snab Новичок

anapa-snab

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png

 

FRST.txt

Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-4060318231-100273902-4270660800-1001 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1429115792&from=face&uid=ST320LT012-9WS14C_W0VGL1JSXXXXW0VGL1JS"
CHR Extension: (Универсальный перевод для Chrome) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ciagpekplgpbepdgggflgmahnjgiaced [2015-04-15]
2017-01-20 16:10 - 2017-01-21 09:23 - 00000000 __SHD C:\Users\Все пользователи\services
2017-01-20 16:10 - 2017-01-21 09:23 - 00000000 __SHD C:\ProgramData\services
2017-01-20 16:09 - 2017-01-21 09:23 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-01-20 16:09 - 2017-01-21 09:23 - 00000000 __SHD C:\ProgramData\Csrss
2017-01-20 15:45 - 2017-01-20 15:45 - 03148854 _____ C:\Users\user\AppData\Roaming\FB3D018FFB3D018F.bmp
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README9.txt
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README8.txt
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README7.txt
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README6.txt
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README5.txt
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README4.txt
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README3.txt
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README2.txt
2017-01-20 15:45 - 2017-01-20 15:45 - 00004170 _____ C:\Users\user\Desktop\README10.txt
2017-01-20 13:52 - 2017-01-23 08:45 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-01-20 13:52 - 2017-01-23 08:45 - 00000000 __SHD C:\ProgramData\Windows
2017-01-20 16:17 - 2017-01-20 16:18 - 1012224 ___SH () C:\Users\user\AppData\Local\Temp\A86B5C6747183B1C9BBB4181C53F302D.dll
2015-04-20 16:13 - 2015-04-20 16:13 - 0006144 _____ () C:\Users\user\AppData\Local\Temp\drvinstl.exe
2015-04-20 16:13 - 2015-04-20 16:13 - 0006656 _____ () C:\Users\user\AppData\Local\Temp\securityaccess.exe
Task: {3B08CAB2-CCD8-4CEF-BFB7-857A31238CDB} - \{FA704DBC-DCCC-4D22-9BCC-DB70891E771E} -> No File <==== ATTENTION
Task: {7DFE9D12-6ED8-43D3-8852-AF1E91696630} - \{AA7EB05E-A13D-460F-82FB-737B07EECC36} -> No File <==== ATTENTION
Task: {D31F557F-D697-4C77-93EE-259ABB71C9BB} - \{43DBDDEF-4142-4429-95DB-45BADCEBF2E7} -> No File <==== ATTENTION
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

AV: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса.
Ссылка на комментарий
Поделиться на другие сайты
anapa-snab Новичок

anapa-snab

Опубликовано
  • Автор
Опубликовано

 

AV: Windows Defender (Disabled - Out of date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

Смените все пароли (почта, ftp, аська, скайп, пароли сохраненные в браузерах, RDP, доступ к админке если держите сайт). За расшифровкой обращайтесь в техподдержку вашего антивируса.

 

 

СПАСИБО большое. А вы лично сможете помочь с расшифровкой? Напиши Ваш номер телефона, если да. Часть файлов у меня есть на флешках.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Нет. Вообще расхлебывать последствия должна техподдержка того антивируса, которая допустила шифрование, а не мы (ну это по хорошему). В вашем случае нужно писать в саппорт Microsoft, т.к. Windows Defender - это их антивирус. Вот как-то так.

Ссылка на комментарий
Поделиться на другие сайты
anapa-snab Новичок

anapa-snab

Опубликовано
  • Автор
Опубликовано

Нет. Вообще расхлебывать последствия должна техподдержка того антивируса, которая допустила шифрование, а не мы (ну это по хорошему). В вашем случае нужно писать в саппорт Microsoft, т.к. Windows Defender - это их антивирус. Вот как-то так.

Спасибо большое за помощь. Вчера установила Касперского =) 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Лариса B
      King зашифровал файлы организации
      От Лариса B
      Добрый день!
      В локальную сеть попал шифровальщик.  Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      К сожалению пока не удалось понять, как он попал и где нахоится источник(. 
      Но сегодня  ночью, по времени - все файлы  оказались зашифрованы. 

      Прикладывают  файлы, согласно правилам зашифрованные файлы + требования.rar

      Подскажите пож-та 
      1. Как найти источник   заражения, сам шифровальщик, какие есть методы 
      2. Как можно дешифровать  данные файлы 
       
      Спасибо большое!
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • ALFGreat
      Шифровальщик BitLocker зашифровал все диски и файлы.
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Kyja
      Зашифровались файлы в конце расширение добавляется .iQwLRR0Oo
      От Kyja
      Добрый день поймали шифровальщик, система была полностью переустановлена на другом харде
      Все файлы в конце расширения добавляется .iQwLRR0Oo
      Так же зашифрованы файлы с архивами при попытке извлечь из них получаю ошибку о поврежденном архиве
      Во вложение файлы Addition.txt FRST.txt
      файлы с требованием и пример архива зашифрованый
      Подскажите пожалуйста возможно востановить?
      Files_1.rar
×
×
  • Создать...