Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровались файлы в arrow

Mr7john
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Тип вымогателя Dharma (.cezar), расшифровки нет.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4

Дополнительно для очистки следов вредоноса:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

удалите нежелательное ПО: Цитата SpyHunter 4

Почему не удалили?

 

надежда на возможность расшифровки данных существует?

Существует, хоть и весьма призрачная.
Mr7john

Mr7john

Опубликовано
  • Автор
Опубликовано

Удалена Перезагрузку еще не произвел после удаления.

 

удалите нежелательное ПО: Цитата SpyHunter 4

Почему не удалили?

надежда на возможность расшифровки данных существует?

Существует, хоть и весьма призрачная.

 


Касперский распознал этот вирус как 

                                                Trojan-Ransom.Win32.Crusis

Sandor

Sandor

Опубликовано
Опубликовано

Перезагрузку еще не произвел после удаления

Перезагрузите и соберите заново логи FRST.
Mr7john

Mr7john

Опубликовано
  • Автор
Опубликовано

Подскажите пожалуйста как поступить с системой сносить все? или поднять новую на новом харде а эти оставить до лучших времен?

Addition.txt

FRST.txt

Shortcut.txt

Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Users\Reception\AppData\Roaming\Info.hta] => mshta.exe "C:\Users\Reception\AppData\Roaming\Info.hta"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3970354392-2723684090-2717606455-500\...\Run: [{569F382A-9933-054E-DAFA-EDEF8710A972}] => c:\programdata\{ca8f101a-b103-995e-dafa-edef8710a972}\6730c085.exe
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} -  No File
Filter: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} -  No File
2018-04-03 00:17 - 2018-04-03 00:17 - 000013927 _____ C:\Windows\system32\Info.hta
2018-04-03 00:17 - 2018-04-03 00:17 - 000000174 _____ C:\Users\Reception\Desktop\FILES ENCRYPTED.txt
2018-04-03 00:17 - 2018-04-03 00:17 - 000000174 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
Task: {406FF334-BC5E-4BA1-9C05-55594912D7E9} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-24] () <==== ATTENTION
Task: {4F5F5951-07B0-43F9-A2D5-934252B58816} - System32\Tasks\{569F382A-9933-054E-DAFA-EDEF8710A972} => c:\programdata\{CA8F101A-B103-995E-DAFA-EDEF8710A972}\6730c085.exe <==== ATTENTION
Task: {775663E7-4B43-4943-949D-72F360FC3072} - System32\Tasks\ParetoLogic Registration3 => C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll" RunUns
Task: {A94B981E-F7E8-4AAC-8F16-BFB072C51121} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2017-11-24] () <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Registration3.job => rundll32.exe  C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\UUS3.dll <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe <==== ATTENTION
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Будьте внимательны. Нужно проделать именно то, что написано в сообщении №8.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • st0rk
      Шифровальщик denied@india.com
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Зашифрованы файлы шифровальщиком denied@india.com
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Зашифрованы файлы -1A4B014A.{suri_namika@india.com}.xtbl
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Файлы зашифрованы Vegclass@aol.com.xtbl
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Шифровальщик, расширение файлов XTBL
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...