Перейти к содержанию

зашифровано no_more_ransom


Рекомендуемые сообщения

Доброго времени суток, посоветуйте что делать, зашифровались файлы на рабочем компе , читал темы по данному вопросу везде пишут что подход к лечению индивидуальный по этому и создал данную тему

вопросов в принципе два:

1) можно ли вылечить компьютер

2) существует ли возможность дешифровки файлов

Ссылка на комментарий
Поделиться на другие сайты

приношу извинения за не верно составленный запрос

прикрепляю отчет созданный при помощи рекомендованного автологгера

так же отчеты сделанные при помощи рекомендованного в других топах, FRST

CollectionLog-2017.04.07-18.35.zip

Addition_07-04-2017 16.31.25.txt

FRST_07-04-2017 16.31.25.txt

Ссылка на комментарий
Поделиться на другие сайты

1) NeuStar, Inc. - это ваш провайдер?

2) Деинсталируйте

7-Zip 9.20 (x64 edition) [20130715]-->MsiExec.exe /I{23170F69-40C1-2702-0920-000001000000}
MiPony 2.0.2 [2015/01/09 09:19:09]-->C:\Program Files (x86)\MiPony\uninst.exe
Служба автоматического обновления программ [2017/03/09 14:44:50]-->C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
Амиго [20170309]-->"C:\Users\1\AppData\Local\Amigo\Application\54.0.2840.193\Installer\setup.exe" --uninstall


Если эти не ставили (не знакомы), то тоже

sizu kuru [2013/05/14 14:31:53]-->C:\Program Files (x86)\pipisku\sizu\Uninstall.exe
Uninstall Tool 2.9.6.5104 [20131203]-->"C:\Program Files (x86)\Uninstall Tool\unins000.exe"
Unity Web Player [2017/03/09 14:45:00]-->C:\Users\1\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser


3) Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\cis5503.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}" /F', 0, 15000, true);
 DelBHO('{a6c63b7f-2171-47fa-ab34-e64c4737169d}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

4) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

5) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):


R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {D69E475D-A993-4943-BCAE-A7B289BC91C6} - Search The Web (phpnuke) - http://search.phpnuke.org/?lang=en&cid=457c4dfc&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D69E475D-A993-4943-BCAE-A7B289BC91C6} - Search The Web (phpnuke) - http://search.phpnuke.org/?lang=en&cid=457c4dfc&q={searchTerms}
O2-32 - BHO: DealPly Shopping - {a6c63b7f-2171-47fa-ab34-e64c4737169d} - C:\Program Files (x86)\DealPly\DealPlyIE.dll
O4 - HKCU\..\Run: [Mobile Partner] C:\Program Files (x86)\3G Wi-Fi роутер\3G Wi-Fi router (file missing)
O4 - MSConfig\startupreg: [Client Server Runtime Subsystem] C:\ProgramData\Windows\csrss.exe  (file missing) (HKLM) (2017/04/06)
O20-32 - Winlogon Notify: ScCertProp   - Invalid registry found
O22 - Task (Ready): DealPlyUpdate - C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (file missing)

5) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

6)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

1) выход в сеть осуществляется по средству 3G модема Мегафон

2) указанные программы деинсталированны

3) файл карантина отправлен

(Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ)

KLAN-6076376551

4) строки пофиксены хотя двух не оказалось в скане

"O2-32 - BHO: DealPly Shopping - {a6c63b7f-2171-47fa-ab34-e64c4737169d} - C:\Program Files (x86)\DealPly\DealPlyIE.dll

 O4 - HKCU\..\Run: [Mobile Partner] C:\Program Files (x86)\3G Wi-Fi роутер\3G Wi-Fi router (file missing)"

5) AWDCleaner просканировал комп файл отчета прилагаю

так же прикрепляю лог файл от автологера

все операции были выполнены в порядке рекомендованном выше

 

CollectionLog-2017.04.08-11.19.zip

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

1) "Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [MailRuUpdater] C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe 
O17 - HKLM\System\CSS\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\CSS\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25

2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

3) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).

  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

выполнил все рекомендации

в прикрепленных файлах авдклинера S1 до перезагрузки, S2 соответственно после, файл автологера так же создан после всех действий и перезагрузки

AdwCleanerS1.txt

AdwCleanerS2.txt

ClearLNK-09.04.2017_14-08.log

CollectionLog-2017.04.09-14.21.zip

Ссылка на комментарий
Поделиться на другие сайты

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

C расшифровкой, увы, помочь не сможем.


Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Федор45
      От Федор45
      Добрый день!
      Утром получили зашифрованные базы 1С, другие продукты не тронуты
       
      FRST.txt Addition.txt
      для примера зашифрованный архив
      БАНК.rar
    • madlab
      От madlab
      На компьютере зашифрованы диски. В системе был установлен Kaspersky Small Office Security (сейчас он в системе не обнаруживается).
      При обращении к диску требуется ввести пароль.
      Системный диск не зашифрован. На нем встречаются файлы с расширением "ooo4ps".
      В архиве "UCPStorage.7z" есть зашифрованный (и, похоже, он же, но не зашифрованный) файл.
      Kaspersky Virus Removal Tool угроз не обнаружил.
      Есть ли возможность помочь?
      Спасибо.
      FRST.txt UCPStorage.7z
    • whoamis
      От whoamis
      Добрый день зашифровало сервер, предположительно кто-то скачал картинку на сервере и открыл.
      Addition.txt FRST.txt 11.rar
    • Дмитрий С1990
      От Дмитрий С1990
      Был зашифрован ПК по средствам подключения по rdp  к учетной записи администратора и подобранному паролю.
      Addition.txt virus.7z FRST.txt
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
×
×
  • Создать...