Перейти к содержанию

вирус-шифровальщик


Рекомендуемые сообщения

сделала всё по инструкции, но в архиве в папке AutoLogger нет zip-архива с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip.  Есть 4 папки и 1текст.     Вот такие:

AVZ

CheckBrowsersLNK

HijeckThis

RSIT

report1.log

Изменено пользователем PTS
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Записку с требованием выкупа и пару зашифрованных файлов упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

 

 


но в архиве в папке AutoLogger
потому что делали не по инструкции. А по инструкции надо было сначала распаковать из архива.
Ссылка на комментарий
Поделиться на другие сайты

Увы, это Shade, расшифровки для него нет.

Будет только очистка следов и мусора.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    () C:\Program Files\bb486c786c51b13cbc17d2601b359025\9706c4fe69f20f1e12d26c5a321f22df.exe
    C:\Program Files\bb486c786c51b13cbc17d2601b359025\9706c4fe69f20f1e12d26c5a321f22df.exe
    C:\Program Files\bb486c786c51b13cbc17d2601b359025\
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: F - F:\AutoRun.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: G - G:\AutoRun.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: I - I:\Autorun.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {07d326de-6d16-11e7-8830-047d7b67c9e8} - F:\AutoRun.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {5a44214a-5c63-11e5-8376-001e101f57d0} - F:\AutoRun.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {a88ca3f6-964f-11e5-a11a-001e101fb4df} - I:\iLinker.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {e8be9cf0-85bc-11e5-af6c-001e101f50a4} - F:\AutoRun.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {ea737fbb-db58-11e4-a516-047d7b67c9e8} - I:\Autorun.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {ea738005-db58-11e4-a516-047d7b67c9e8} - G:\AutoRun.exe
    HKU\S-1-5-21-3254382207-4008642762-3871550152-1000\...\MountPoints2: {ea738016-db58-11e4-a516-047d7b67c9e8} - F:\AutoRun.exe
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF
    SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF
    SearchScopes: HKU\S-1-5-21-3254382207-4008642762-3871550152-1000 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPDTDF
    BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-3254382207-4008642762-3871550152-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
    Toolbar: HKU\S-1-5-21-3254382207-4008642762-3871550152-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\728c-5d11-6dbc-4337 [2016-09-04] [not signed]
    FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\d64f-57c8-f817-525b [2016-09-04]
    FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-09-14]
    FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-09-14]
    FF Extension: (No Name) - C:\Users\Татьяна\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-09-14]
    R2 bb486c786c51b13cbc17d2601b359025; C:\Program Files\bb486c786c51b13cbc17d2601b359025\9706c4fe69f20f1e12d26c5a321f22df.exe [1060352 2017-08-17] () [File not signed] <==== ATTENTION
    R1 e04404239ebeff187a6d134e1f22e3b6; C:\Windows\system32\drivers\e04404239ebeff187a6d134e1f22e3b6.sys [77184 2017-08-17] (36IHD8) <==== ATTENTION
    S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [1 2017-06-03] () [File not signed]
    S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\QMUdisk64.sys [X]
    S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\TS888x64.sys [X]
    S1 TsDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.0.16794.227\TsDefenseBT64.sys [X]
    2017-09-18 11:54 - 2017-09-18 11:54 - 000000000 _____ C:\Windows\SysWOW64\shoBD84.tmp
    2017-09-15 10:21 - 2017-09-15 10:21 - 004320054 _____ C:\Users\Татьяна\AppData\Roaming\9B1D1C459B1D1C45.bmp
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README9.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README8.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README7.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README6.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README5.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README4.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README3.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README2.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README10.txt
    2017-09-15 10:21 - 2017-09-15 10:21 - 000004178 _____ C:\Users\Татьяна\Desktop\README1.txt
    2017-09-14 19:37 - 2017-09-14 19:37 - 000000000 __SHD C:\Users\Все пользователи\System32
    2017-09-14 19:37 - 2017-09-14 19:37 - 000000000 __SHD C:\ProgramData\System32
    2016-09-04 19:50 - 2016-09-04 19:51 - 001580445 _____ (                                                            ) C:\Users\Татьяна\AppData\Local\Temp\f595f70b-4f83-4f48-acfc-f8f8bcf087d5.exe
    2016-09-04 19:52 - 2016-09-04 19:52 - 004423896 _____ () C:\Users\Татьяна\AppData\Local\Temp\mailruhomesearch.exe
    2016-09-04 19:53 - 2016-09-01 22:19 - 005179608 _____ (Mail.Ru) C:\Users\Татьяна\AppData\Local\Temp\MailRuUpdater.exe
    2016-09-14 21:31 - 2017-04-14 22:21 - 004127960 _____ (Mail.Ru) C:\Users\Татьяна\AppData\Local\Temp\mrutmp.exe
    2017-08-10 22:49 - 2017-08-10 22:50 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update0019706201.exe
    2017-08-14 07:59 - 2017-08-14 08:00 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update3164702505.exe
    2017-08-09 11:49 - 2017-08-09 11:51 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update4079990829.exe
    2017-09-12 19:10 - 2017-09-12 19:14 - 006708408 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update4504350346.exe
    2017-08-28 07:02 - 2017-08-28 07:03 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update5120344740.exe
    2017-08-05 09:37 - 2017-08-05 09:38 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update5304508454.exe
    2017-08-12 10:00 - 2017-08-12 10:02 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update5369335330.exe
    2017-08-25 11:46 - 2017-08-25 11:47 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update5629493652.exe
    2017-09-15 00:34 - 2017-09-15 00:34 - 006708408 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update6380382731.exe
    2017-08-04 12:09 - 2017-08-04 12:10 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update7076630623.exe
    2017-08-20 12:46 - 2017-08-20 12:47 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update7934256516.exe
    2017-08-08 17:22 - 2017-08-08 17:23 - 006692024 _____ () C:\Users\Татьяна\AppData\Local\Temp\VkontakteDJ_update8062013050.exe
    Task: {19E93841-27B5-4B45-A713-F48A12780B57} - System32\Tasks\bb486c786c51b13cbc17d2601b359025 => sc start bb486c786c51b13cbc17d2601b359025 <==== ATTENTION
    Task: {8869F8F2-0C5E-4F6F-A60D-7CABF727699A} - System32\Tasks\WinThruster_UPDATES => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION
    Task: {D3E74394-4169-48A3-96EC-EB19B31297C4} - System32\Tasks\WinThruster_DEFAULT => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION
    Task: {D941783D-AC02-4C98-ADA8-C6CA21927C49} - System32\Tasks\WinThruster => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION
    Task: {F5F46D30-80D9-4BAF-9290-D77F8C114A83} - \57eebd57618ca44829cd845d87d3fb84 -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\WinThruster_DEFAULT.job => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION
    Task: C:\Windows\Tasks\WinThruster_UPDATES.job => C:\Program Files (x86)\WinThruster\WinThruster.exe <==== ATTENTION
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\69124979.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\6B809DEB.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\69124979.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\6B809DEB.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
    FirewallRules: [{8AC57AC7-C1CA-4755-AAD5-A872956118D0}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    FirewallRules: [{0FE21D05-A2C7-47DB-9818-251B49B6AE1C}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{95D39D8E-2BE5-4918-86A2-B6F5733B287F}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    FirewallRules: [{B2CF837D-EF1D-45D6-AC7A-421F8EBC7593}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{73CD42A7-D36E-4609-BB2F-B44E838FC83E}] => (Allow) C:\Users\Татьяна\AppData\Local\itorrent\itorrent.exe
    FirewallRules: [{57BC3440-756A-4AF1-BF24-8CC615EE0203}] => (Allow) C:\Users\Татьяна\AppData\Local\itorrent\itorrent.exe
    FirewallRules: [{42BB1153-B326-476F-A9F6-50A5FC26ED17}] => (Allow) C:\Users\Татьяна\AppData\Local\Amigo\Application\amigo.exe
    FirewallRules: [{74A90560-1C85-48D8-960F-41FC92CF1DD8}] => (Allow) C:\Users\Татьяна\AppData\Local\MediaGet2\mediaget.exe
    FirewallRules: [{BC807D40-2172-4DD4-941D-FC1BE1F21062}] => (Allow) C:\Users\Татьяна\AppData\Local\MediaGet2\mediaget.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

Еще почистим:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    opensource (HKLM-x32\...\{3677D4D8-E5E0-49FC-B86E-06541CF00BBE}) (Version: 1.0.14960.3876 - Your Company Name) Hidden
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Через Панель управления - Удаление программ - удалите нежелательное ПО:

Амиго

MediaGet

Unity Web Player

Кнопка "Яндекс" на панели задач

Менеджер браузеров

opensource

Чистилка

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • AlexYarm
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • vasia15
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • escadron
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
    • boshs
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

×
×
  • Создать...