wncry wncry требуется помощь восстановить файлы

14 июля, 2017

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, {17241AAD-5722-0BAB-B2D2-665B53021B0B}

Этот ключ если ещё остался, то удалите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

14 июля, 2017

Вот, пожалуйста

Shortcut.txt

FRST.txt

Addition.txt

14 июля, 2017

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Кнопка "Яндекс" на панели задач

поищите пару зашифрованный и оригинал файлы.

Нашли?

14 июля, 2017

Через Панель управления - Удаление программ - удалите нежелательное ПО:

MediaGet

Кнопка "Яндекс" на панели задач

поищите пару зашифрованный и оригинал файлы.
Нашли?

Нежелательное ПО удалил.

Система работала автономно, без монитора, мышки, клавиатуры, по RDP из ЛОКАЛЬНОЙ закрытой сети.

не понятно, как она вообще, заразилась...

С системы не отправлялись по почте данные никуда ... но мы не останавливаемся ) Продолжаем искать на других компьютерах сети файлы. Возможно еще найдем!

Вот, удалось найти аж 2 файла!

Для склада.xls

Турция поступление 2016.xlsx

Для склада.xls.wncry.zip

Турция поступление 2016.xlsx.wncry.zip

Изменено 14 июля, 2017 пользователем Владимир Николаев

14 июля, 2017

Еще этот, пожалуйста:

C:\Users\Ольга\Desktop\Инструкция по расшифровке файлов WannaCry.TXT

14 июля, 2017

Вот, пожалуйста

Инструкция по расшифровке файлов WannaCry.TXT

14 июля, 2017

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicyScripts: Restriction <==== ATTENTION
Tcpip\..\Interfaces\{08A54433-26C6-4008-BA9F-C13178B403DE}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
2017-07-05 04:08 - 2017-07-05 04:08 - 00006959 _____ C:\Users\User\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\продавец\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\Ольга\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\Ольга\Documents\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\Ольга\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:07 - 2017-07-05 04:07 - 00006959 _____ C:\Users\Меломед\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Бухгалтер\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Бухгалтер\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Артём\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Артём\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Администратор\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Администратор\Documents\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Администратор\Desktop\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Админ\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\User\Downloads\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Default\Инструкция по расшифровке файлов WannaCry.TXT
2017-07-05 04:06 - 2017-07-05 04:06 - 00006959 _____ C:\Users\Classic .NET AppPool\Инструкция по расшифровке файлов WannaCry.TXT
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers04: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
Task: {B98A80A6-C77B-41A5-A89C-11C2FD1F1CC0} - System32\Tasks\{F7319D82-EAF6-4F35-9E07-CC39AF507456} => E:\run.exe
Task: {E66BA349-ADBF-4487-96A1-465F8124C97C} - System32\Tasks\{91174AB3-DE99-4BCB-B7F4-4B2388462854} => E:\run.exe
FirewallRules: [{EB653C0E-D960-4F40-9DF7-2EEBA001938C}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{8638DF54-5895-4076-A246-40E9148B55FA}] => (Allow) C:\Users\User\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите компьютер вручную.

Подробнее читайте в этом руководстве.

Инструкции по расшифровке будут позже.

14 июля, 2017

Cделано!

Fixlog.txt

14 июля, 2017

Проверьте личные сообщения (здесь на форуме).

В завершение:

Все утилиты лечения и папки, включая C:\FRST, можно просто удалить.

До этого:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

15 июля, 2017

Спасибо. Тему можно удалить?
Вс получилось, файл восстановил

систему снес, ставлю ubuntu server... чтоб наверняка ))

15 июля, 2017

Ничего секретного в теме нет, чтобы ее удалять.

wncry wncry требуется помощь восстановить файлы

Рекомендуемые сообщения

regist

Владимир Николаев

Sandor

Владимир Николаев

Sandor

Владимир Николаев

Sandor

Владимир Николаев

Sandor

Владимир Николаев

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum