Шифровальщик .arrow

[Pbyalsky]

Доброе время суток. Осталась последняя надежда на вас!

Поймал вирус шифровальщик, который зашифровал мне практически ВСЕ файлы , кроме системных ( виндовс 7 частично, но подымается)

Теперь они имеют вид  ИмяФайла.id-8881EF49.[becky.cely2@aol.com].arrow

 

Symantec_Endpoint_Protection_SBE_12.1_Win64  пропустил его.

Я удалил шифровальщик вручную уже на последней его стадии  

Отсканировал комп с помощью Malwarebytes и Касперски  - они ничего не нашли.

 

Пользовался вашей утилитой  RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие)

id: 10556 - она мой вирус не знает.

У меня есть так-же несколько  файлов до шифрованияния , но они больше 5 мб

Прилагаю логи.

Надеюсь на помощь!

 

Павел

CollectionLog-2018.04.21-01.44.zip

[SQ]

Здравствуйте,

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kearnvdfyt','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
 ExecuteRepair(2);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Pbyalsky]

Надеюсь , что все сделал правильно...
Лог прилагаю

AdwCleanerC00.txt

[SQ]

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Pbyalsky]

Тут у Вас на ссылке  AdwCleaner немного устаревшая версия(5.004)  и интерфейс сильно отличается от текущей (7.01)

она теперь называется   Malwarebytes AdwCleaner . Я правильно понял или ошибся?

 

  А так все сделал , как Вы написали (удалил все из карантина) и прилагаю лог.

 

 

AdwCleanerS02.txt

Изменено 22 апреля, 2018 пользователем Pbyalsky

[SQ]

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Тут у Вас на ссылке  AdwCleaner немного устаревшая версия(5.004)  и интерфейс сильно отличается от текущей (7.01)

она теперь называется   Malwarebytes AdwCleaner . Я правильно понял или ошибся?

да версия изменилась (алгоритм удаления осталься тот же), все правильно сделали.

[Pbyalsky]

Все отработало, но Explorer ругался , что файл FRST64.exe - is not commonly downloaded and could HARM  your computer

 а антивирус Symantec_Endpoint_Protection  спрашивал разрешения на запуск

FRST.txt

Addition.txt

Изменено 22 апреля, 2018 пользователем Pbyalsky

[SQ]

Вам знакома, сами устанавливали?

() C:\Program Files (x86)\No-IP\ducservice.exe

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\Explorer.exe
  HKU\S-1-5-21-56739442-2731816912-2817828468-1000\...\Run: [AdobeBridge] => [X]
  File: C:\Program Files (x86)\BezeqCloud\dokance.sys
  Task: {8E96327B-C337-4247-9C47-AEA63F28B341} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {E65D77FE-C3D2-4849-81C9-8E9747898D3C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  MSCONFIG\startupreg: kearnvdfyt => explorer "http://fikrov.ru/?utm_source=uoua03&utm_content=9903289f54c7d1f1be065d5e64b0c701"
  MSCONFIG\startupreg: kometaup => C:\Users\Pavel\AppData\Local\Kometa\kometaup.exe --windows-start
  File: C:\Users\Pavel\AppData\Roaming\cubby\cubby.exe
  MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
  Reboot:
  

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Pbyalsky]

Вам знакома, сами устанавливали?

() C:\Program Files (x86)\No-IP\ducservice.exe

Да. Давно. Толком и не пользовался. Она через раз подключалась. Помоему это было что-то типа RemoteDesktop

Fixlog.txt

Изменено 23 апреля, 2018 пользователем Pbyalsky

[SQ]

Пробуйте сделать запрос согласно инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

[Pbyalsky]

Во первых  огромное спасибо за то, что возились с моей проблемой.

Как я понимаю хвостов вируса (ов) у меня  уже нет. И теневых копий дисков тоже.

Есть ли надежда увидеть свои файлы в ближайшем будущем  ? Стоит ли установить виндовс по-новой (кроме системы ни одна программа не работает -ведь все же файлы зашифрованы) ?

И если можно в кратце  что Вы делали с помощью всех этих программ и с какова была цель.

 

А насчёт запроса в https://forum.kasper...showtopic=48525 - не знаю. У меня ведь не был ни куплен ни установлен антивирус Касперский.

Изменено 24 апреля, 2018 пользователем Pbyalsky

[SQ]

Есть ли надежда увидеть свои файлы в ближайшем будущем  ?

Ничего гарантировать не можем, вы отслеживайте форумы, если увидете, что кому-то помогли со схожим шифровальщиком.

 

Стоит ли установить виндовс по-новой (кроме системы ни одна программа не работает -ведь все же файлы зашифрованы) ?

Это уже как решите, возможно шифровальщик зашифровал и необходимые библиотеки .

 

 

И если можно в кратце  что Вы делали с помощью всех этих программ и с какова была цель.

Убедиться, что нет активной угрозы и в случае некоторых видом шифровальщиков (иных) возможность нашими силами расшифровки.

 

А насчёт запроса в https://forum.kasper...showtopic=48525 - не знаю. У меня ведь не был ни куплен ни установлен антивирус Касперский.

Пробуйте найти знакомых или друзей у кого куплены продукты KasperskyLab.