Перейти к содержанию

Прошу помочь в расшифровке файлов на рабочем компьютере

Pvclimb
 Поделиться

Рекомендуемые сообщения

Pvclimb

Pvclimb

Опубликовано
Опубликовано

На компьютере появился вирус. Попал он посредством открытия вредоносного электронного письма.

Все файлы зашифрованы.

1) Проверил комп сканером HitmanPro 3.7 и Док. Веб. - Удалил 3 трояна (readme.exe, start.exe...)

2) утилиты расшифровщики не помогли

3) Отсканировал еще раз AVZ (протокол ниже)

Во вложении также: зашифрованный файл и текст вымогателей.

 

Прошу вас помочь в решении этого вопроса.

Спасибо!

README2.txt

RBph8yinlbye5f9LoO7iDJ0H8lkYNYBinYYoy3wiCHM=.4079878281A30A70216E.rar

avz_log.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1. Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

2. Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

3.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2896389803-2528871504-2419315469-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-2896389803-2528871504-2419315469-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Handler: soloresinternetrusengnum - {1B7043A7-84E1-443a-804F-20A75728892C} - C:\PROGRA~1\SOLO9R~1\SoloRes.dll No File
Handler: soloresnum - {88F71360-8289-42d5-93EF-836D7F89E277} - C:\PROGRA~1\Solo9Num\SoloRes.dll No File
2017-03-23 14:22 - 2017-01-13 17:00 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-03-23 14:22 - 2017-01-13 17:00 - 00000000 __SHD C:\ProgramData\Csrss
2017-03-23 14:22 - 2017-01-13 12:45 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-03-23 14:22 - 2017-01-13 12:45 - 00000000 __SHD C:\ProgramData\Windows
2017-01-13 16:59 - 2017-01-13 16:59 - 4320054 _____ () C:\Users\Кристина\AppData\Roaming\70644D4570644D45.bmp
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Отложите до лучших времен поврежденные файлы. Хоть и редко, но случаются удачные события - злодеев могут поймать и изъять их инструменты и опубликовать. Либо иногда они сами выкладывают ключи.

 

При работе с почтой будьте бдительны.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kubanrentgen
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов
      Автор kubanrentgen
      Утром 6.12.2022 на компьютере обнаружили зашифрованные файлы.
      Поймали вирус-шифровальщик, прошу помочь с расшифровкой файлов.
      Addition.txt FRST.txt Образцы.rar virus.rar
    • Helsing13
      Прошу помощи с расшифровкой Trojan.Encoder.31074
      Автор Helsing13
      Добрый день! В результате атаки была зашифрована система. Все файлы стали с расширением lpdVIpAg7.
      После перезагрузки система работает но не все программы запускаются.
      Во вложении: письмо требование, пример зашифрованных файлов, отчеты о работе FRST, и несколько подозрительных исполняемых файлов.
       
      Пароль на оба архива: 1234
       
      virus.zip lpdVIpAg7.README.txt Addition.txt FRST.txt files.zip
    • Владислав Эпштейн
      Помощь в расшифровке файлов
      Автор Владислав Эпштейн
      Доброго дня, обнаружен троян шифровальщик, расширения файлов - xxpfz2h
      Текст вымогателей найден отдельно, сам шифровальщик был удалён KVRT 
      Имеются только названия угроз: Trojan-Ransom.Win32.Mimic.av     -    HEUR:Backdoor.MSIL.Crysan.gen
      Просканировать систему не представляется возможным через программу которая приложена в правилах.
      Сканирование через KVRT осуществлял из под безопасного режима без сетевых драйверов и заражённый диск подключался через отдельный HDD хаб.
      Образцы зашифрованных файлов имеются, как и текстовый документ вымогателей
      Посоветуйте пожалуйста о дальнейших действиях
    • Tappa
      Петя расшифровка
      Автор Tappa
      Помогите расшифровать ключ 

    • CredoLin
      Шифрование виртуалок и рабочих станций
      Автор CredoLin
      Здравствуйте!
       
      В ночь произошел инцидент, в котором выяснилось, что кто-то смог авторизоваться с помощью учетной записи Kaspersky, подобрать пароль от машин VMWare и зашифровать виртуальные машины, а также содержимое файловых систем.
      Файл с требованиями находится внутри архива.
      Доступ по RDP есть к этим виртуальным машинам есть. Сейчас отключено RDP.
       
      ИИ намекнул, что, возможно, это ALPHV, LockBit или BlackMatter.
       
      Прошу помочь в определении шифровальщика и возможность дешифровки.
       
      зашифрованные файлы.zip FRST.txt Addition.txt
×
×
  • Создать...