Перейти к содержанию
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Вирус шифровальщик nVhcrypt

Comya
 Поделиться

Рекомендуемые сообщения

Comya Новичок

Comya

Опубликовано
Опубликовано

Добрый день. У нас школе секретарь открыл письмо с вирусом, который зашифровал все файлы на сетевых дисках и компьютере  в расширение nVhcrypt. Уже смирился с тем что файлы не вернуть, пытаюсь убить вирус. Пролечил Cureitом и Касперским. Выкладываю логи.

CollectionLog-2017.06.16-18.43.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Антивирус Касперского 6.0 для Windows Workstations - устарел и базы к нему больше ен выпускаются. Надо обновиться до более актуальной версии.


Кнопка "Яндекс" на панели задач [2016/07/20 15:09:38]-->C:\Users\kadr\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned

Если не используется, то деинсталируйте.

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk
 

 

А также


>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OTR\Клиент СЭД\АРМ Генерации ключей.lnk"  -> ["C:\FkClnt1\EXE\!cbank.bat"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.1\Foxit Reader 5.1.lnk"    -> ["C:\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.1\Uninstall Foxit Reader 5.1.lnk"    -> ["C:\Program Files\Foxit Software\Foxit Reader\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\ФЛАК 83-РИК.lnk"    -> ["C:\Program Files\MICC\FLAKRIK\2014\FLAKRIK.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Деинсталляция ФЛАК 83-РИК.lnk"          -> ["C:\Program Files\MICC\FLAKRIK\2014\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Руководство пользователя.lnk"           -> ["C:\Program Files\MICC\FLAKRIK\2014\Руководство пользователя.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК 83-РИК\2014\Инструкция по заполнению.lnk"           -> ["C:\Program Files\MICC\FLAKRIK\2014\Инструкция по заполнению.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Коннект Менеджер.lnk"    -> ["C:\Program Files\Connect Manager\Connect Manager.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Удаление программы.lnk"  -> ["C:\Program Files\Connect Manager\uninst.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Коннект Менеджер\Инструкция.lnk"          -> ["C:\Program Files\Connect Manager\usermanual\usermanual_ru.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Домашняя страница.lnk"    -> ["C:\Program Files\MICC\FLAKOSH\2015\«ФЛАК ОШ-1, ОШ-5».url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Деинсталляция ФЛАК ОШ-1, ОШ-5.lnk"  -> ["C:\Program Files\MICC\FLAKOSH\2015\uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Руководство пользователя.lnk"       -> ["C:\Program Files\MICC\FLAKOSH\2015\Руководство пользователя.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ГИВЦ\ФЛАК ОШ-1, ОШ-5\2015\Инструкция по заполнению.lnk"       -> ["C:\Program Files\MICC\FLAKOSH\2015\Инструкция по заполнению.doc"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Recuva\Recuva.lnk"    -> ["C:\Program Files\Recuva\recuva.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Recuva\Uninstall Recuva.lnk"    -> ["C:\Program Files\Recuva\uninst.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Колор Кросс.lnk"  -> ["C:\Colour Cross\ColorCross.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Удалить игру.lnk"           -> ["C:\Colour Cross\Uninstall.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Колор Кросс.lnk"        -> ["C:\Colour Cross\ColorCross.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Игры\Игры от Turbogames.ru\Колор Кросс\Установить DirectX 9.0с (March 2008 RunTime).lnk"         -> ["C:\Colour Cross\DirectX\DXSETUP.exe"]
>>>  "C:\Users\kadr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Дом с привидениями. Обитатели кошмаров. Коллекционное издание.lnk"        -> ["C:\Haunted Halls - Nightmare Dwellers CE\HauntedHalls_NightmareDwellers.exe"]
>>>  "C:\Users\kadr\Desktop\notebook\ИСХОДЯЩ\10-11 исх\заява Виктория.lnk"       -> ["C:\Users\kadr\Desktop\Альбина\заявка.doc"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\КАДРЫ\Труд Договора\договора и доп рабочие\И Пе Кучи.docx.lnk"     -> ["C:\Users\kadr\Desktop\яяя\допы\И Пе Кучи.docx"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\отчет СТАТИСТИКА\1-T-prof.xls - Ярлык.lnk"     -> ["C:\Users\kadr\Desktop\кадры 2015-2016\ОТЧЕТЫ Деп Обр\1-T-prof.xls"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\Приказы\кадр2016\63-прием  -Рындиной.lnk"      -> ["C:\Users\kadr\Desktop\кадры 2015-2016\Приказы\кадр2016\60-прием Чумаковой.doc"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\Foxit Reader 5.1.lnk"         -> ["C:\Program Files\Foxit Software\Foxit Reader\Foxit Reader.exe"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\Коннект Менеджер.lnk"         -> ["C:\Program Files\Connect Manager\Connect Manager.exe"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\м - Ярлык.lnk"      -> ["C:\Users\kadr\Documents\м"]
>>>  "C:\Users\kadr\Desktop\кадры 2015-2017\ЯРЛЫКИ\ФЛАК 83-РИК 2014.lnk"         -> ["C:\Program Files\MICC\FLAKRIK\2014\FLAKRIK.exe"]

Файлы на которые ссылаются эти ярлыки отсуствуют, если решите их по быстрому удалить, то также просто исправьте с помощью ClearLNK.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

    • valkovaleksandr
      Шифровальщик cyberfear
      Автор valkovaleksandr
      Добрый день! Просьба помочь с  Шифровальщик cyberfear.
      Вот такая фигня вылазит при открытии текстовиков:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted
      Your personal ID: *****sJm4WtmxxeX8*datastore@cyberfear.com
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us to this e-mail: datastore@cyberfear.com
      In case of no answer in 24 hours write us to this backup e-mail: back2up@swismail.com
      Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
      Contact us soon, because those who don't have their data leaked in our press release blog and the price they'll have to pay will go up significantly.
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
      FRST.txt Addition.txt README_SOLVETHIS.txt Привет.docx Текстовый документ.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Caine
      Шифровальщик KOZANOSTRA
      Автор Caine
      Добрый день.  
      Поймал шифровальщика KOZANOSTRA. На ПК был открыт RDP.  Прошу помощи в расшифровке данных
×
×
  • Создать...