Перейти к содержанию

Рекомендуемые сообщения

Зашифрованы текстовые файлы и файлы изображений.

Вирус открыли из почты Антивирус kaspersky endpoint security 10 работал и пропустил.

Пожалуйста помогите расшифровать важную информацию.

CollectionLog-2017.04.12-17.19.zip

Ссылка на комментарий
Поделиться на другие сайты

1)

Java(TM) 6 Update 32 [20140915]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF}
SpyHunter 4 [2017/04/12 16:26:30]-->C:\Users\Администратор\AppData\Roaming\Enigma Software Group\sh_installer.exe -r sh

деинсталируйте.

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Memory Diagnostics Tool.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Security Configuration Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Server Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Share and Storage Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\System Configuration.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Windows Server Backup.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\Terminal Services Configuration.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maintenance\Problem Reports and Solutions.lnk', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS RemoteApp Manager.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Print Management.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Terminal Services\TS Licensing Manager.lnk', '');
 QuarantineFile('C:\Users\2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\3\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\6\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\6\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\4\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\4\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\5\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\8\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\8\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\7\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\10\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\10\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\9\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\8\Desktop\1с.lnk', '');
 QuarantineFile('C:\Users\8.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\8.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\10.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\10.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\9.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
 QuarantineFile('C:\Users\11.SER\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Server Manager.lnk', '');
 QuarantineFile('C:\Users\11.SER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Accessibility\Narrator.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
 

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

@psv11, пожалуйста, нажмите Win + R, введите cmd и нажмите ОК
 В открывшееся окно введите
 where narrator
 и нажмите ENTER.
 Сделайте скриншот окна и выложите в своём сообщении.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
Hosts:
Tcpip\..\Interfaces\{BC4A7CC4-912F-4CD6-825C-8F0F993A48B4}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicyScripts: Restriction <======= ATTENTION
Hosts:
Tcpip\..\Interfaces\{BC4A7CC4-912F-4CD6-825C-8F0F993A48B4}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

 

 

Как запустить FRST через среду восстановления на Windows server 2008?

Ссылка на комментарий
Поделиться на другие сайты

 

 


Как запустить FRST через среду восстановления на Windows server 2008?
там же внизу ссылка на руководство и в нём вторым постом ответ на ваш вопрос https://safezone.cc/threads/kak-vypolnit-skript-v-farbar-recovery-scan-tool.17760/#post-197884

А в чём проблема выполнить скрипт из обычного режима, как до этого вы делали логи?

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

С расшифровкой, увы, помочь не сможем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alegator2222
      От alegator2222
      Добрый день коллеги, подверглись атаки вируса spora, шифрует файлы в hta, есть способ расшифровать? 
      пример_hta_файла.rar
    • mixali4
      От mixali4
      Доброго времени суток. С почтового ящика qeer@mail.ru пришло письмо со следующим содержимым:
      Случайно запустил на компьютере файл, который пришел в архиве.
      Вирус зашифровал много файлов, но я успел вовремя отрубить, файлы преобразовались в расширения типа *.doc.hta, *.xls.hta. При открытии файла требует деньги, почта spora.help@gmail.com.
      Как расшифровать данные файлы, что вообще можно сделать?
      Документы очень важные. Ребята помогите пожалуйста.
      Спасибо!!!
    • Boriskis1996
      От Boriskis1996
      Пришло письмо на почту , скачал файл открыл его. Получилось поймайл вирус Spora.   README_eGUiKSAmJi.hta  вижу этот файл во всех папках. Помогите с расшифровкой всех файлов, может какая программа поможет
      Addition.txt
      FRST.txt
    • ptpg
      От ptpg
      Спора зашифровал много файлов, в основном .doc и .pdf. Нужна помощь в расшифровке.  
      В архиве зашифрованный и не зашифрованный файл(также ссылка на сайт вируса).
      Спасибо.
      Архив WinRAR.rar
    • sputnikdom
      От sputnikdom
      У меня перестали открываться файлы. появляется уведомление, чтобы заплатить за расшифровку файлов
×
×
  • Создать...