Перейти к содержанию

SPORA RANSOMWARE

Vladislav Bronich
 Share

Рекомендуемые сообщения

Vladislav Bronich Новичок

Vladislav Bronich

Опубликовано
Опубликовано (изменено)

Добрый день! программа SPORA RANSOMWARE зашифровала все файлы xls, doc, pdf на компьютере, и в сетевых папках. Почему KIS лицензия не распознал злодея. помогите решить проблемы расшифровки файлов пожалуйста. Windows Vista лицензия 32 bit установлена на компьютере

Изменено пользователем Soft
убрал излишние форматирование
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Ask Toolbar

Delta Chrome Toolbar

Delta toolbar

Служба автоматического обновления программ

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В Программах удалите также Guard@Mail.Ru.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Прокси
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Vladislav Bronich Новичок

Vladislav Bronich

Опубликовано
  • Автор
Опубликовано

можно ли в ручную удалять папки после "Clean" в программе AdwCleaner (by Malwarebytes)

так как после того, как я снял галочки с папок. он реестр очистил, а на папках все так и виснет в безопасном

спасибо

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.istartsurf.com/?type=hp&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799&q={searchTerms}
HKU\S-1-5-21-948305045-2484261172-3037323439-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799&q={searchTerms}
HKU\S-1-5-21-948305045-2484261172-3037323439-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799
HKU\S-1-5-21-948305045-2484261172-3037323439-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799&q={searchTerms}
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-948305045-2484261172-3037323439-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1408522545&from=amt&uid=WDCXWD2500KS-00MJB0_WD-WCANK448079980799
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
OPR Extension: (SuperMegaBest.com) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\aonedlchkbicmhepimiahfalheedjgbh [2016-08-22]
S3 TuneUpUtilitiesDrv; \??\C:\Program Files\TuneUp Utilities 2014\TuneUpUtilitiesDriver32.sys [X]
2017-02-07 14:34 - 2017-02-07 14:34 - 00158352 _____ (Mail.Ru) C:\Users\User\Downloads\amigo_dkit (1).exe
2017-02-07 09:37 - 2017-02-07 09:37 - 00016726 _____ C:\Users\User\AppData\Roaming\RUA61-99OGA-KATXK-AOTGO-THXAT-FAFZX-TRRHE-RYYYY.html
2017-02-07 09:37 - 2017-02-07 09:37 - 00016726 _____ C:\RUA61-99OGA-KATXK-AOTGO-THXAT-FAFZX-TRRHE-RYYYY.html
2017-02-07 09:37 - 2017-02-07 09:37 - 00001088 _____ C:\Users\User\AppData\Roaming\RUA61-99OGA-KATXK-AOTGO-THXAT-FAFZX-TRRHE-RYYYY
2017-02-07 09:33 - 2017-02-07 09:37 - 21251032 _____ C:\Users\User\AppData\Roaming\2153036974
2015-08-21 10:02 - 2015-08-21 10:02 - 0000236 _____ () C:\Users\User\AppData\Roaming\CONFIRMATION.KEY
2015-08-21 10:02 - 2015-08-21 10:02 - 0001312 ___RS () C:\Users\User\AppData\Roaming\VAULT.KEY
Task: {0550A5F4-A8D4-4AFB-A73B-47CC8C1F1F98} - \1deec9dc-0c25-4a51-9b6f-4f2085a5534f-11 -> No File <==== ATTENTION
Task: {068D091D-1E83-4A36-99FE-FD2B9E98CB15} - \Delta Toolbar Updater -> No File <==== ATTENTION
Task: {627C69B0-34F2-473E-915D-C68C38821CF4} - \roller_coaster_park_updating_service -> No File <==== ATTENTION
Task: {65647A58-B24E-486C-BF38-15458DBF0512} - \Программа онлайн-обновления Adobe. -> No File <==== ATTENTION
Task: {6A541E26-A8C3-4854-A071-3EF42518E687} - \roller_coaster_park_notification_service -> No File <==== ATTENTION
Task: {6F3BF3E7-62E2-4E29-B02D-C63740EC3FAB} - \Comp Rest -> No File <==== ATTENTION
Task: {7AE8BCDD-58FC-465F-8AF2-689DC529C34F} - \1deec9dc-0c25-4a51-9b6f-4f2085a5534f-4 -> No File <==== ATTENTION
Task: {9AC2665D-27D0-4944-AEA6-32E7593B29AF} - \ShdUpdate -> No File <==== ATTENTION
Task: {9E1A1B4D-113F-46A0-A74F-3A116E69A728} - \Image Experience -> No File <==== ATTENTION
Task: {F006974D-5DA5-40D0-B3FC-F4CAFCCA3BDD} - \1deec9dc-0c25-4a51-9b6f-4f2085a5534f-3 -> No File <==== ATTENTION
Task: {F8469CF0-EC0C-42B5-BFDC-7083E5979104} - System32\Tasks\Safe-Ads Updater => Wscript.exe //B "C:\Users\User\AppData\Local\delta\delta\1.3.28.0\..\updt.js"
Task: {FE464910-6244-4639-9445-0A1059F921B1} - \0149a2ee-e2c3-41bf-bca1-e27432b34280 -> No File <==== ATTENTION
Task: C:\Windows\Tasks\0149a2ee-e2c3-41bf-bca1-e27432b34280.job => C:\Program Files\HD-V1.9\0149a2ee-e2c3-41bf-bca1-e27432b34280.exe <==== ATTENTION
Task: C:\Windows\Tasks\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-11.job => C:\Program Files\HD-V1.9\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-11.exe <==== ATTENTION
Task: C:\Windows\Tasks\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-3.job => C:\Program Files\HD-V1.9\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-3.exe <==== ATTENTION
Task: C:\Windows\Tasks\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-4.job => C:\Program Files\HD-V1.9\1deec9dc-0c25-4a51-9b6f-4f2085a5534f-4.exe
AlternateDataStreams: C:\Windows:B6315C5AECA68CE4 [50]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • hobbit86
      King Ransomware зашифровал файлы организации
      От hobbit86
      Добрый день!
      На сервер 1С попал шифровальщик King Ransomware. Все файлы зашифрованы по маске <Имя файла>.<Расширение>[king_ransom1@mailfence.com].king.
      Проблема появилась после посещения специалиста обслуживающей 1С компании по Anydesk.
       
      FRST.txt Virus.rar Encrypted.rar
    • LamerMan
      Помощь с расшифровкой Elbie Ransomware
      От LamerMan
      Здравствуйте, 04.10.2022 на комп попал вирус-шифровальщик Elbie Ransomware, все файлы стали с расширением .lnk.id[E2638681-3398].[helprequest@techmail.info].Elbie
      Обратились в компанию по расшифровке, сказали цену 250 тыс. рублей. Сотрудник подключился удаленно и просканировал систему, оставив за собой софт(приложу во вложения)
      На момент заражения был открыт порт 3389 и настроено рдп с несложными паролями, на компе стоял Kaspersky Free (AVP21.3), есть предположение, что злоумышленник ботнетом пинговал айпишники с к классическими портами, затем забрутфорсил пароль
      Программа сотрудника аутсорс компании сканирует файлы, а затем выдает какой-то код, я так и не разобрался что с ним делать, он сказал что этим кодом пишется дешифратор. Так же там есть .exe программа, в которой ей кнопка decrypt, но она требует какой-то ключ, надеюсь, найдется человек, который сможет с этим разобраться
      Elbie Decrypt.zip
    • ksp_user
      Ransomware attack ( id[bMtMPqp].stop ) in my PC and Google drive
      От ksp_user
      Two months ago, suddenly, my Windows 11 PC refused me login. I tried several methods and everything failed and lead to fully format the PC. 
       
      Usually, I keep a copy of my notes in Google Drive so I did not worry much. 
       
      But I have noticed that my Google Drive also infected by a ransomware almost all the files there, renamed them to <filename>.<file extention>.id[bMtMPqp].stop and encrypted. 
       
      Since I couldn't log in to my PC , most probably ransomware encrypted the system files, I did not see any ransom notes or anything.
       
      Is it possible to identify the ransomware and decrypt the files in the Google Drive?
       
      Thanks.  
    • yaregg
      Diamond Ransomware
      От yaregg
      Вчера подключался некий "удалённый специалист" через anydesk.RDP порты были закрыты. Сегодня были проблемы с логином (пароль не походил). Зашёл под администратором, всё зашифровано.
      При помощи KVRT поймал исполняемый файл. Судя по всему, это LockBit V3 black и на расшифровку можно не рассчитывать?
       
       
       
       
      файлы.rarAddition.txtFRST.txt
    • Paulo César
      Infecção de ransomware STOP (Djvu)
      От Paulo César
      Boa tarde...
       
      Estou passando por essa praga que é o ransomware, preciso de ajuda caso alguém o possa fazer. 
      Passei o arquivo pelo site id-ransomware.malwarehunterteam.com e a mensagem que o STOP (Djavu). Alguém conhece?... Tem uma ferramenta para indicar?
×
×
  • Создать...