Перейти к содержанию

Расшифровка crypted000007

Mihaz34
 Поделиться

Рекомендуемые сообщения

Mihaz34

Mihaz34

Опубликовано
Опубликовано

Доброго времени суток. 

 

Прошу помочь в расшифровке файлов на бухгалтерском компьютере. Не опытный бухгалтер поймала каким то образом шифровальщик. А у нас есть жизненно важные файлы на компьютере. Фирма маленькая, возможности платить за расшифровку мошенникам нет. Помогите расшифровать. Архив с файлами прикреплен.

CollectionLog-2017.06.14-18.35.rar

thyrex

thyrex

Опубликовано
Опубликовано

Не нужно заниматься самодеятельностью и архивировать самому логи, которые у Вас не просили.

 

Читайте правила и выполняйте

Mihaz34

Mihaz34

Опубликовано
  • Автор
Опубликовано

Не нужно заниматься самодеятельностью и архивировать самому логи, которые у Вас не просили.

 

Читайте правила и выполняйте

Извиняюсь, вероятно я прочел не ту инструкцию.

Сейчас все выполнили все как написано.

CollectionLog-2017.06.15-14.24.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
(Microsoft Corporation) C:\ProgramData\Csrss\csrss.exe
(Microsoft Corporation) C:\ProgramData\Drivers\csrss.exe
() C:\ProgramData\Windows\csrss.exe
HKU\S-1-5-21-2094155398-429235357-1003743018-1000\...\Run: [CSRSS] => C:\ProgramData\Drivers\csrss.exe [887808 2017-05-16] (Microsoft Corporation)
HKU\S-1-5-21-2094155398-429235357-1003743018-1000\...\MountPoints2: {0e0d6262-2100-11e7-99ba-806e6f6e6963} - E:\autorun.exe
2017-05-16 16:10 - 2017-05-16 16:10 - 00000000 __SHD C:\Users\Все пользователи\services
2017-05-16 16:10 - 2017-05-16 16:10 - 00000000 __SHD C:\ProgramData\services
2017-05-16 16:09 - 2017-05-16 16:09 - 00000000 __SHD C:\Users\Все пользователи\Csrss
2017-05-16 16:09 - 2017-05-16 16:09 - 00000000 __SHD C:\ProgramData\Csrss
2017-05-16 13:54 - 2017-05-16 13:54 - 04320054 _____ C:\Users\Главбух\AppData\Roaming\869CDA0C869CDA0C.bmp
2017-05-16 13:39 - 2017-05-16 13:39 - 00000000 __SHD C:\Users\Все пользователи\Windows
2017-05-16 13:39 - 2017-05-16 13:39 - 00000000 __SHD C:\ProgramData\Windows
2017-05-16 16:09 - 2017-05-16 16:09 - 0887808 _____ (Microsoft Corporation) C:\Users\Главбух\AppData\Local\Temp\48EFE457.exe
2017-05-16 16:09 - 2017-05-16 16:09 - 1032704 _____ (Microsoft Corporation) C:\Users\Главбух\AppData\Local\Temp\97D5C5C9.exe
2017-05-16 16:10 - 2017-05-16 16:10 - 1497600 _____ () C:\Users\Главбух\AppData\Local\Temp\D7057834.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Следы вымогателя очищены. С расшифровкой помочь не сможем.

 

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18665 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

------------------------------- [ HotFix ] --------------------------------

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4019263 Внимание! Скачать обновления

HotFix KB4022722 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.01 (64-разрядная) v.5.01.0 Внимание! Скачать обновления

TeamViewer 12 v.12.0.77242 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Google Chrome v.58.0.3029.110 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

 

 

Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • nsemak
      Необходима помощь в расшифровке файлов
      Автор nsemak
      Добрый день. Прошу помощи в расшифровке данных. Все по классике. Бухгалтер работала в терминальном сервере с правами админа, открыла почту и приехали. В архиве логи с программы "Farbar Recovery Scan Tool", зашифрованые файлы и файл о выкупе. 
       
      Файлы для анализа.zip
×
×
  • Создать...