Заархивированы некоторые файлы и папки и установлен на них пароль.

[Serzhanya]

Добрый день. Заархивированы некоторые файлы и папки и установлен на них пароль. Там где архивы есть текстовый документ следующего содержания.

Здравствуйте. Ваши файлы зашифрованы обычным Winrar (нет вирусов и специальных программ)
email мне  rarkey@india.com  IP адрес вашего сервер и я прислать Вам дальнейшие инструкции.


P.s. Если Вы не знать Ваш IP, схдить на сайт 2ip.ru (это безопасно) и скопировать Ваш IP адрес в письмо мне.
Я не обманывать и отдать Вам пароль после оплаты!
Так-же я написать ваши трудности в безопасности и инструкцию, что-бы больше не был взлом никогда.
Пароль подобрать к архивам не возможно, очень сложный и длинный, удаленные файлы восстановить не возможно,
они стереть, не просто удален. Не тратить ценное время, заплатить мне, воостановить работу сервера,
 оплата после взять у Ваш системный администратор.

 

Есть варианты расшифровать?

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Serzhanya]

Проверку провел Dr.web Cureit, но переде этим устанавливал Kaspersky Endpoint 10 и он удалил пару вирусов: сначала ругнулся на msapp.exe, затем увидел Trojan.vbs.runner. Проверку Курейтом проводил при отключенном Каспере и он ничего не обнаружил. Затем сделал Лог по правилам

CollectionLog-2017.03.24-13.35.zip

Изменено 24 марта, 2017 пользователем Serzhanya

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Pokki

В системе видны несколько программ удаленного подключения:

D:\AA_v3.exe

C:\Program Files\uvnc bvba\UltraVNC\WinVNC.exe

C:\Users\user1\AppData\Local\Temp\TeamViewer\Version9\TeamViewer.exe

Они Вам известны?

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Serzhanya]

Программы удаленного подключения мне известны, могу удалить кроме тим вьевера.

Pokki удалил

AdwCleanerS0.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Serzhanya]

Сделано

Addition.txt

AdwCleanerC0.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
Folder: C:\Program Files (x86)\Windows Inst
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

[Serzhanya]

Готово

Fixlog.txt

[Sandor]

Меняйте пароль на RDP, пересмотрите настройки программ удаленного доступа.

С расшифровкой помочь не сможем.

[Serzhanya]

Понятно, спасибо