Перейти к содержанию

Вирус шифровальщик без смены расширения


Рекомендуемые сообщения

В один момент были зашифрованы все файлы с расширениями .doc .xls .pdf, тем не менее некоторые файлы все же открываются. Компьютер был проверен антивирусом DrWeb Cureit. Все зашифрованные файлы имеют дату изменения 17.02.2017.

CollectionLog-2017.04.07-14.14.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Служба автоматического обновления программ

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Файл C:\AdwCleaner\AdwCleaner[C0].txt тоже покажите.

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
OPR StartupUrls: "hxxp://mail.ru/cnt/10445"
S3 TcHardWare; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCHW-x64.sys [X]
2017-04-07 15:35 - 2015-05-12 10:09 - 00000000 ____D C:\Users\Все пользователи\IObit
2017-04-07 15:35 - 2015-05-12 10:09 - 00000000 ____D C:\ProgramData\IObit
2017-02-17 07:59 - 2017-02-17 08:03 - 6045000 _____ () C:\Users\Александр\AppData\Roaming\3993665529
2017-02-17 08:03 - 2017-02-17 08:03 - 0001088 _____ () C:\Users\Александр\AppData\Roaming\RUAA0-4EXAO-RRTOG-ARTGT-XZXOT-XOGFA-TXOHO
2017-02-17 08:03 - 2017-02-17 08:03 - 0016715 _____ () C:\Users\Александр\AppData\Roaming\RUAA0-4EXAO-RRTOG-ARTGT-XZXOT-XOGFA-TXOHO.html
Task: {0C46731A-F4CF-49EE-A0EB-CD88450DB51D} - System32\Tasks\Uninstaller_SkipUac_Александр => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe 
Task: {1586637F-C845-47AB-A6BF-DCB9DB677CCB} - System32\Tasks\Driver Booster SkipUAC (Александр) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe 
Task: {901C0472-2D76-48E5-973E-8315FED75F2E} - \{78C1C249-AA85-4025-8987-46036FCF7BF9} -> No File <==== ATTENTION
FirewallRules: [{A9BEA5B1-88CA-4BF4-AD32-C42F0C25A5EE}] => (Allow) C:\Users\Александр\AppData\Local\Amigo\Application\amigo.exe
FirewallRules: [{F0F9B79B-84DE-4878-AFE6-6EC772C2169E}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
FirewallRules: [{BD9F13DF-B609-4B88-8B7A-2D8E63712682}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{4666B065-7D01-4EA3-8070-BE3BA6515A25}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCTray.exe
FirewallRules: [{6AE95D24-BBE0-4AF8-82F0-9BA31AE71193}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCMgr.exe
FirewallRules: [{6AF1E94F-CBD0-43DA-B101-3DD1F073DD28}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCRTP.exe
FirewallRules: [{BD3891D4-B21B-46BF-B7D0-75B306228A43}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QMDL.exe
FirewallRules: [{AE828A7D-36F0-4804-9F64-002F4753563A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\bugreport.exe
FirewallRules: [{57C26250-3FEF-41A3-9CAF-6B6744B1FE9F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCFileOpen.exe
FirewallRules: [{7916D5FE-82FC-460E-915B-F79AE9BE499A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCLeakScan.exe
FirewallRules: [{F808FE0B-13EA-43BB-BD1F-204FEEB098E6}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPConfig.exe
FirewallRules: [{5E787B7D-B68D-4979-B8AB-52C80D0218DA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCSoftMgr.exe
FirewallRules: [{E498FCEB-A40D-4AB5-954B-8B3EB64D0EFA}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\plugins\QMNetMon\QQPCNetFlow.exe
FirewallRules: [{86D3DBD2-D6C7-4AEB-A39A-9C742F400C2C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCBTU.exe
FirewallRules: [{E9B6D62A-5DAB-4984-8B16-C11E491F6704}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCClinic.exe
FirewallRules: [{04819DA6-42E7-4429-A34C-BC96F9CC233A}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCLaunch.exe
FirewallRules: [{1351B4DF-D416-4441-985B-87AFCFDA7D5D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QMUpdate\QQPCMgrUpdate.exe
FirewallRules: [{9D604BC9-0D17-468B-BB52-36DC7D371FD9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCSoftGame.exe
FirewallRules: [{0058A1BD-512B-415C-BED2-3F5406AA4E6F}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCSysOptimize.exe
FirewallRules: [{FA3F8E7D-75D6-41AF-B67D-490DA81F889E}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCUpdateAVLib.exe
FirewallRules: [{8B1E5376-40A7-4CE6-BACD-7C524358E3E1}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQRepair.exe
FirewallRules: [{CF11F303-030E-41E1-B738-8BBB718D44D2}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\Uninst.exe
FirewallRules: [{DA63D5D0-7FAE-4C48-A520-A35BB751A5C9}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QQPCPatch.exe
FirewallRules: [{84A14887-42B1-4E37-8C05-7A37696BC9F7}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\TpkUpdate.exe
FirewallRules: [{0434340B-C703-4B1F-83DF-54F619190D16}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QMAccountProtection.exe
FirewallRules: [{59388CDE-14B9-45BB-B7FE-51851713DC1D}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.7.17791.230\QMAdBlock.exe
FirewallRules: [{AE2252F9-1C80-4137-99E6-496DD1E636F0}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
FirewallRules: [{F72CF494-C381-443C-9397-E412D89F561F}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Адварь и следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

 

 


С расшифровкой куда можно обратиться?
Например, с заявлением  милицию, если соберетесь, то здесь подробная инструкция. А больше помочь нечем.
Ссылка на комментарий
Поделиться на другие сайты

Закройте уязвимые места:

------------------------------- [ Windows ] -------------------------------

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Автоматическое обновление отключено

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.4.0.60531.0 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.1.5.0.7220 Внимание! Скачать обновления

Adobe Reader 9.1 MUI v.9.1.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

------------------------------- [ Browser ] -------------------------------

Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

----------------------------- [ EmailClient ] -----------------------------

Почта Windows Live v.14.0.8117.0416 Данная программа больше не поддерживается разработчиком.

---------------------------- [ UnwantedApps ] -----------------------------

MyWinLocker Suite v.3.1.212.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

MyWinLocker v.3.1.212.0 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Kaspersky Internet Security 2013 - очень устаревшая версия. Обновите до актуальной.

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Fantamax
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • badabucha
      Автор badabucha
      Все файлы на сервере зашифрованы расширением .frank
      FRST.txt Frank_Help.txt файлы.rar Addition.txt
    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • Shvedko
      Автор Shvedko
      Коллеги, добрый день!
      У меня появилась задача развернуть новый сервер администрирвоания. В замен старого. Но я никак не могу отыскать как можно изменить настройки шлюза соединения в агенте?
      Подскажите где можно произвести эту настройку.
×
×
  • Создать...