Перейти к содержанию

заразились no_more_ransom

Georgiy_A
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Два антивируса - много

Avast Internet Security

Kaspersky Internet Security

Оставьте один, удалите другой: Чистка системы после некорректного удаления антивируса.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

omiga-plus uninstall

salesale

Unity Web Player

Амиго

Служба автоматического обновления программ

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Georgiy_A

Georgiy_A

Опубликовано
  • Автор
Опубликовано

Спасибо!

 

нежелательное ПО​ удалил, AdwCleaner запустил - отчет в приложении.

Заранее спасибо.

 

 

AdwCleanerS0.txt

Sandor

Sandor

Опубликовано
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF NewTab: C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://isearch.omiga-plus.com/newtab/?type=nt&ts=1419328165&from=cor&uid=WDCXWD1200JS-00MHB0_WD-WCANN103588435884
FF DefaultSearchEngine: C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=800000
FF Keyword.URL: C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/search?fr=ntg&q=
FF Extension: (No Name) - C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\3cc5-9c39-8bda-a8a1 [2017-02-28]
FF Extension: (SHA-1 deprecation staged rollout) - C:\Documents and Settings\Администратор\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\features\{0ebe1357-b178-481c-b6bb-471e2d147527}\disableSHA1rollout@mozilla.org.xpi [2017-02-27]
2017-02-28 13:17 - 2017-02-28 13:17 - 03932214 _____ C:\Documents and Settings\Администратор\Application Data\B748A755B748A755.bmp
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README9.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README8.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README7.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README6.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README5.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README4.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README3.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README2.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README10.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\Администратор\Рабочий стол\README1.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt
2017-02-28 13:17 - 2017-02-28 13:17 - 00004154 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README9.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README8.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README7.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README6.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README5.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README4.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README3.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README2.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README10.txt
2017-02-28 12:59 - 2017-02-28 12:59 - 00004154 _____ C:\README1.txt
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

помогите пожалуйста с очисткой компа от вируса.

Очистка завершена. С расшифровкой помочь не сможем.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Дополнительно, пожалуйста, упакуйте папку

C:\FRST\Hives\

и прикрепите архив к следующему сообщению. Изменено пользователем Sandor

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Светлана123
      Вирус шифровальщик
      Автор Светлана123
      Прошу помочь в расшифровке файлов
      CollectionLog-2017.05.13-11.47.zip
    • metrolog_181
      Зашифровал все crypted000007
      Автор metrolog_181
      Добрый день! Нарвался на вирус скачав письмо с почты. Вирус зашифровал все фото, видео, музыку, текстовые документы
      CollectionLog-2017.05.02-10.06.zip
    • 500razlamer
      ShadeDecryptor оказался бесполезен
      Автор 500razlamer
      Зашифрованные файлы, видео, аудио и изображения) с расширением .xtbl лежат уже давно. Файл README1.txt также был сохранен. К сожалению, ShadeDecryptor оказался бесполезен, т.к. не смог найти ключ для расшифровки. Чем-то можно помочь?
       
      11:40:01.0742 0x0444  Trojan-Ransom.Win32.Shade decryptor tool 1.1.0.2 Jun  8 2016 16:43:09
      ...
      11:40:02.0102 0x0444  ============================================================
      11:40:02.0149 0x0444  Initialize success
      11:40:59.0383 0x1778  Using ID 7A9AF0405A282593E45E from the ransom note: D:\backRender\README1.txt
      11:41:11.0037 0x1778  No keys found for the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl
      11:41:16.0723 0x1778  Cannot initialize decryptor on the file: D:\backRender\MediaTemp\Pinnacle\materials\music\po2VeceO5L3dB58-DhbxSQ==.xtbl
       
      ------------------------------------------------------------------------------
      Логи, требуемые правилами создания запроса, прилагаются.
      CollectionLog-2017.05.11-10.00.zip
    • AndreyRTN2
      Зашифрованы файлы на ПК
      Автор AndreyRTN2
      Доброго времени суток.
       
      Сегодня при загрузке компьютера было обнаружены зашифрованные файлы с расширением
      "различные символы".NO_MORE_RANSOM множеством файлов README и черным экраном с оповещением о заражении.
      Kaspersky Endpoint Security 10 обнаружил trojan-ransom.win32.shade
       
      Заражение произошло при клике по ссылке в почте якобы от сбербанка.
       
      Прошу помочь в решении проблемы
       
       
      Addition.txt
      FRST.txt
    • Max0n
      шифровальщик no_more_ransom
      Автор Max0n
      Добрый день !
       
      Пришло письмо с адреса ignatov.s@sberbank.ru с ссылкой http://www.sberbank.ru/downloads/individual/170-2017-05/id465865gte1703623465... (фактический переход на http://luxceram.ru/smartoptimizer/cache/schet_sber.html). По ссылке скачался архив Documents.zip в нем был файл ....xls.js 
      После запуска файла вирус начал переименовывать файлы по следующему образцу: 
      XZNlDpV-eR0OoJs5+nLELydHtSzvsQha21etC6sjeRzVzqAlDdD0onmpinoeHaSt.7CE2FFF06AF5177487E9.no_more_ransom
       
      Процесс был прерван, но часть файлов вирус успел переименовать. 
      Компьютер был проверен KVRT (уничтожено 10 угроз) и после KAV (ничего не обнаружено).  
       
      Во вложении архив с зашифрованными файлами и логи проверки AutoLogger
       
      Возможно ли восстановить зашифрованные файлы ? 
      CollectionLog-2017.05.12-12.42.zip
      зашифрованные файлы.zip
×
×
  • Создать...