Перейти к содержанию

Рекомендуемые сообщения

добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли

  •  

CollectionLog-2017.04.25-13.53.zip

Изменено пользователем Виталий88
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

Unity Web Player

Установлены:

Avast Free Antivirus

Kaspersky Anti-Virus

Kaspersky Internet Security

Оставьте один, остальное удалите - Чистка системы после некорректного удаления антивируса.

 

Далее:

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Админ\AppData\Local\svshost\svshost.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "svshost" /F', 0, 15000, true);
 DeleteFile('C:\Users\Админ\AppData\Local\svshost\svshost.exe', '32');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

Спасибо всем кто откликнулся.KLAN-6157130486 В антивирусных базах информация по присланным вами файлам отсутствует..Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Получается новая модификация. А возможно ли откатить систему на точку восстановления, или они так же зашифрованы?

Изменено пользователем Виталий88
Ссылка на сообщение
Поделиться на другие сайты

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ждем повторные логи.

возможно ли откатить систему на точку восстановления

Не нужно!
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Готово

Addition.txt

FRST.txt

Shortcut.txt

Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1914927057-35256208-39523728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Админ\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Админ\AppData\Roaming:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:iSpring Solutions [128]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Если сохранился

C:\Combofix.txt

тоже прикрепите.
Ссылка на сообщение
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1914927057-35256208-39523728-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Админ\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Админ\AppData\Roaming:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:iSpring Solutions [128]
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Если сохранился

C:\Combofix.txt

тоже прикрепите.

 

Комбофикса к сожалению нет

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Без специального указания его запускать опасно.

 

Скачайте OTCleanIt, запустите, нажмите Clean up.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на сообщение
Поделиться на другие сайты

Без специального указания его запускать опасно.

 

Скачайте OTCleanIt, запустите, нажмите Clean up.

 

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Благодарю за помощь. Последний вопрос -при запросе расшифровывают только приложенные файлы или при удачной дешифровке создают утилиту?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • polduima
      От polduima
      Добрый день, прошу помощи. На компьютере троян зашифровал файлы. Есть ли возможность дешифровки?
      Помогите пожалуйста. Пару файлов оригинал и зашифрованный прикрепил. Заранее спасибо.
      id-A0E044E7.helperdisk@cock.li.rar
    • Anvar
      От Anvar
      Приветствую,
      Форумчане нужна помощь в расшифровке после шифровальщика!
       
      Словил пару троянов:
      UDS:Trojan-Banker.Win32.Emotet.sb
      VHO:Trojan.Win32.Agent.qwhqxf
       
      В итоге зашифрованы все файлы. Расширение .PPTX
       
      Предлагает купить расшифровщик с http://huhighwfn4jihtlz.onion/sdlsgdewwbhr   На компе больше 360 гб видео и фото(        
    • Чайник Тата
      От Чайник Тата
      По электронной почте пришло письмо с вложенным архивом двух счетов на оплату.  После открытия счетов на оплату были зашифрованы  файлы MS Office и PDF .
        Заражение произошло 23 января  2017 года ориентировочно в 7-40 утра.
      Запуск утилиты Dr WEB устранил 1 угрозу.
      Самостоятельно восстановила файлы MS Office и PDF находящиеся на диске С из сохранившегося архива.
      А вот файлы с диска D восстановить не смогла.CollectionLog-2017.01.27-00.42.zipRUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTMLreport2.log
    • Rusik Rusik
      От Rusik Rusik
      Здравствуйте. Есть проблема с удалением, но главное с расшифровкой файлов. Утилиты и программы с сайта Касперски, не помогли. Вирус шифрует файлы (изображения, документы)  на имя_файла.старое расширение.1txt
      Trojan-Downloader.JS.Agent.myo название вируса
       
      Могу скинуть архив с вирусом, по запросу.
×
×
  • Создать...