Шыфровальщик Trojan.Encoder.11539

13 апреля, 2018

Шифровальщик Trojan.Encoder.11539( как сказали в dr.WEB) зашифровал все файлы, которые очень нужны .

Ситуация очень схожая с пользователем который заплатил "вымогателям" - https://forum.kasperskyclub.ru/index.php?showtopic=56986

в моем случае только почты иные, но денежек у меня нету((( а зарядили не слабо 0.8 биткойна.

Очень надеюсь на помощь.

скрин и лог прикрепляю.

CollectionLog-2018.04.13-10.31.zip

13 апреля, 2018

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):



begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\YmViZQxx\bfsvc.exe','');

 QuarantineFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\YmViZQxx\explorer.exe','');

 TerminateProcessByName('c:\users\Администратор\appdata\roaming\ymvizqxx\twunk_32.exe');

 QuarantineFile('c:\users\Администратор\appdata\roaming\ymvizqxx\twunk_32.exe','');

 DeleteFile('c:\users\Администратор\appdata\roaming\ymvizqxx\twunk_32.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','twunk_32.exe');

 DeleteFile('C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\YmViZQxx\explorer.exe','32');

 DeleteFile('C:\Windows\system32\config\systemprofile\AppData\Roaming\YmViZQxx\bfsvc.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','bfsvc.exe');

 DeleteFile('C:\Users\Администратор\WINDOWS\Tasks\YmViZQxx.job','32');

 DeleteFile('C:\Windows\system32\Tasks\YmViZQxx','64');

ExecuteSysClean;

end.

Перезагрузите компьютер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:



begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).



O4-32 - HKLM\..\Run: [bfsvc.exe] = C:\Windows\system32\config\systemprofile\AppData\Roaming\YmViZQxx\bfsvc.exe  (file missing)

O4-32 - HKLM\..\Run: [explorer.exe] = C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\YmViZQxx\explorer.exe  (file missing)

O4-32 - HKLM\..\Run: [twunk_32.exe] = C:\Users\Администратор\AppData\Roaming\YmViZQxx\twunk_32.exe

O22 - Task (Job): (Ready) YmViZQxx.job - C:\Users\Администратор\AppData\Roaming\YmViZQxx\twunk_32.exe

O22 - Task: YmViZQxx - C:\Users\Администратор\AppData\Roaming\YmViZQxx\twunk_32.exe

Сделайте новые логи Автологгером.

16 апреля, 2018

Сделал новые Автологи
и все скрипты

CollectionLog-2018.04.16-08.42.zip

17 апреля, 2018

Подскажите люди добрые, что дальше делать, есть ли шанс восстановить инфу?

17 апреля, 2018

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

17 апреля, 2018

Все сделал как написано выше. Это как-то поможет мне с расшифровкой?..

Addition.txt

FRST.txt

18 апреля, 2018

C:\Users\Администратор\AppData\Roaming\YmViZQxx

Удалите вручную.

Это как-то поможет мне с расшифровкой?

Это по крайней мере поможет очистить сервер от вирусов. Пароль от RDP смените.

Лицензия на антивирус имеется?

19 апреля, 2018

На антивирус лицензии нет(увы ), а по поводу очистки, я так подумал поскольку вся информация все равно зашифрована и её невозможно расшифровать, то безопасней будет заново поставить систему с нуля.

Шыфровальщик Trojan.Encoder.11539

Рекомендуемые сообщения

Fantomas1102

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Fantomas1102

Ссылка на комментарий

Поделиться на другие сайты

Fantomas1102

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Fantomas1102

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Fantomas1102

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum