Перейти к содержанию

зашифровано no_more_ransom

pro100passer
 Поделиться

Рекомендуемые сообщения

pro100passer Новичок

pro100passer

Опубликовано
Опубликовано

Доброго времени суток, посоветуйте что делать, зашифровались файлы на рабочем компе , читал темы по данному вопросу везде пишут что подход к лечению индивидуальный по этому и создал данную тему

вопросов в принципе два:

1) можно ли вылечить компьютер

2) существует ли возможность дешифровки файлов

Ссылка на комментарий
Поделиться на другие сайты
pro100passer Новичок

pro100passer

Опубликовано
  • Автор
Опубликовано

приношу извинения за не верно составленный запрос

прикрепляю отчет созданный при помощи рекомендованного автологгера

так же отчеты сделанные при помощи рекомендованного в других топах, FRST

CollectionLog-2017.04.07-18.35.zip

Addition_07-04-2017 16.31.25.txt

FRST_07-04-2017 16.31.25.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) NeuStar, Inc. - это ваш провайдер?

2) Деинсталируйте

7-Zip 9.20 (x64 edition) [20130715]-->MsiExec.exe /I{23170F69-40C1-2702-0920-000001000000}
MiPony 2.0.2 [2015/01/09 09:19:09]-->C:\Program Files (x86)\MiPony\uninst.exe
Служба автоматического обновления программ [2017/03/09 14:44:50]-->C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
Амиго [20170309]-->"C:\Users\1\AppData\Local\Amigo\Application\54.0.2840.193\Installer\setup.exe" --uninstall


Если эти не ставили (не знакомы), то тоже

sizu kuru [2013/05/14 14:31:53]-->C:\Program Files (x86)\pipisku\sizu\Uninstall.exe
Uninstall Tool 2.9.6.5104 [20131203]-->"C:\Program Files (x86)\Uninstall Tool\unins000.exe"
Unity Web Player [2017/03/09 14:45:00]-->C:\Users\1\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser


3) Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\csrss.exe', '');
 QuarantineFile('C:\Users\1\AppData\Local\Temp\cis5503.exe', '');
 DeleteFile('C:\ProgramData\Windows\csrss.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805}" /F', 0, 15000, true);
 DelBHO('{a6c63b7f-2171-47fa-ab34-e64c4737169d}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

4) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

5) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):


R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {D69E475D-A993-4943-BCAE-A7B289BC91C6} - Search The Web (phpnuke) - http://search.phpnuke.org/?lang=en&cid=457c4dfc&q={searchTerms}
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D69E475D-A993-4943-BCAE-A7B289BC91C6} - Search The Web (phpnuke) - http://search.phpnuke.org/?lang=en&cid=457c4dfc&q={searchTerms}
O2-32 - BHO: DealPly Shopping - {a6c63b7f-2171-47fa-ab34-e64c4737169d} - C:\Program Files (x86)\DealPly\DealPlyIE.dll
O4 - HKCU\..\Run: [Mobile Partner] C:\Program Files (x86)\3G Wi-Fi роутер\3G Wi-Fi router (file missing)
O4 - MSConfig\startupreg: [Client Server Runtime Subsystem] C:\ProgramData\Windows\csrss.exe  (file missing) (HKLM) (2017/04/06)
O20-32 - Winlogon Notify: ScCertProp   - Invalid registry found
O22 - Task (Ready): DealPlyUpdate - C:\Program Files (x86)\DealPly\DealPlyUpdate.exe (file missing)

5) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

6)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
pro100passer Новичок

pro100passer

Опубликовано
  • Автор
Опубликовано

1) выход в сеть осуществляется по средству 3G модема Мегафон

2) указанные программы деинсталированны

3) файл карантина отправлен

(Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ)

KLAN-6076376551

4) строки пофиксены хотя двух не оказалось в скане

"O2-32 - BHO: DealPly Shopping - {a6c63b7f-2171-47fa-ab34-e64c4737169d} - C:\Program Files (x86)\DealPly\DealPlyIE.dll

 O4 - HKCU\..\Run: [Mobile Partner] C:\Program Files (x86)\3G Wi-Fi роутер\3G Wi-Fi router (file missing)"

5) AWDCleaner просканировал комп файл отчета прилагаю

так же прикрепляю лог файл от автологера

все операции были выполнены в порядке рекомендованном выше

 

CollectionLog-2017.04.08-11.19.zip

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

1) "Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [MailRuUpdater] C:\Users\1\AppData\Local\Mail.Ru\MailRuUpdater.exe 
O17 - HKLM\System\CSS\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\CSS\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.70.25
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{2BFCED0F-8279-4A39-98C1-492B89E68722}: NameServer = 156.154.71.25

2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

3) Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).

  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
pro100passer Новичок

pro100passer

Опубликовано
  • Автор
Опубликовано

выполнил все рекомендации

в прикрепленных файлах авдклинера S1 до перезагрузки, S2 соответственно после, файл автологера так же создан после всех действий и перезагрузки

AdwCleanerS1.txt

AdwCleanerS2.txt

ClearLNK-09.04.2017_14-08.log

CollectionLog-2017.04.09-14.21.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

 

C расшифровкой, увы, помочь не сможем.


Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
×
×
  • Создать...