Pbyalsky Опубликовано 20 апреля, 2018 Опубликовано 20 апреля, 2018 Доброе время суток. Осталась последняя надежда на вас! Поймал вирус шифровальщик, который зашифровал мне практически ВСЕ файлы , кроме системных ( виндовс 7 частично, но подымается) Теперь они имеют вид ИмяФайла.id-8881EF49.[becky.cely2@aol.com].arrow Symantec_Endpoint_Protection_SBE_12.1_Win64 пропустил его. Я удалил шифровальщик вручную уже на последней его стадии Отсканировал комп с помощью Malwarebytes и Касперски - они ничего не нашли. Пользовался вашей утилитой RakhniDecryptor для борьбы с вредоносной программой Trojan-Ransom.Win32.Rakhni (.oshit и другие) id: 10556 - она мой вирус не знает. У меня есть так-же несколько файлов до шифрованияния , но они больше 5 мб Прилагаю логи. Надеюсь на помощь! Павел CollectionLog-2018.04.21-01.44.zip
SQ Опубликовано 21 апреля, 2018 Опубликовано 21 апреля, 2018 Здравствуйте, AVZ выполнить следующий скрипт. Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kearnvdfyt','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); ExecuteRepair(2); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Подготовьте лог AdwCleaner и приложите его в теме.
Pbyalsky Опубликовано 21 апреля, 2018 Автор Опубликовано 21 апреля, 2018 Надеюсь , что все сделал правильно...Лог прилагаю AdwCleanerC00.txt
SQ Опубликовано 22 апреля, 2018 Опубликовано 22 апреля, 2018 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Pbyalsky Опубликовано 22 апреля, 2018 Автор Опубликовано 22 апреля, 2018 (изменено) Тут у Вас на ссылке AdwCleaner немного устаревшая версия(5.004) и интерфейс сильно отличается от текущей (7.01) она теперь называется Malwarebytes AdwCleaner . Я правильно понял или ошибся? А так все сделал , как Вы написали (удалил все из карантина) и прилагаю лог. AdwCleanerS02.txt Изменено 22 апреля, 2018 пользователем Pbyalsky
SQ Опубликовано 22 апреля, 2018 Опубликовано 22 апреля, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Тут у Вас на ссылке AdwCleaner немного устаревшая версия(5.004) и интерфейс сильно отличается от текущей (7.01) она теперь называется Malwarebytes AdwCleaner . Я правильно понял или ошибся? да версия изменилась (алгоритм удаления осталься тот же), все правильно сделали.
Pbyalsky Опубликовано 22 апреля, 2018 Автор Опубликовано 22 апреля, 2018 (изменено) Все отработало, но Explorer ругался , что файл FRST64.exe - is not commonly downloaded and could HARM your computer а антивирус Symantec_Endpoint_Protection спрашивал разрешения на запуск FRST.txt Addition.txt Изменено 22 апреля, 2018 пользователем Pbyalsky
SQ Опубликовано 23 апреля, 2018 Опубликовано 23 апреля, 2018 Вам знакома, сами устанавливали? () C:\Program Files (x86)\No-IP\ducservice.exe Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: File: C:\Windows\Explorer.exe HKU\S-1-5-21-56739442-2731816912-2817828468-1000\...\Run: [AdobeBridge] => [X] File: C:\Program Files (x86)\BezeqCloud\dokance.sys Task: {8E96327B-C337-4247-9C47-AEA63F28B341} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {E65D77FE-C3D2-4849-81C9-8E9747898D3C} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION MSCONFIG\startupreg: kearnvdfyt => explorer "http://fikrov.ru/?utm_source=uoua03&utm_content=9903289f54c7d1f1be065d5e64b0c701" MSCONFIG\startupreg: kometaup => C:\Users\Pavel\AppData\Local\Kometa\kometaup.exe --windows-start File: C:\Users\Pavel\AppData\Roaming\cubby\cubby.exe MSCONFIG\startupreg: mobilegeni daemon => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен.
Pbyalsky Опубликовано 23 апреля, 2018 Автор Опубликовано 23 апреля, 2018 (изменено) Вам знакома, сами устанавливали? () C:\Program Files (x86)\No-IP\ducservice.exe Да. Давно. Толком и не пользовался. Она через раз подключалась. Помоему это было что-то типа RemoteDesktop Fixlog.txt Изменено 23 апреля, 2018 пользователем Pbyalsky
SQ Опубликовано 24 апреля, 2018 Опубликовано 24 апреля, 2018 Пробуйте сделать запрос согласно инструкции:https://forum.kasperskyclub.ru/index.php?showtopic=48525
Pbyalsky Опубликовано 24 апреля, 2018 Автор Опубликовано 24 апреля, 2018 (изменено) Во первых огромное спасибо за то, что возились с моей проблемой. Как я понимаю хвостов вируса (ов) у меня уже нет. И теневых копий дисков тоже. Есть ли надежда увидеть свои файлы в ближайшем будущем ? Стоит ли установить виндовс по-новой (кроме системы ни одна программа не работает -ведь все же файлы зашифрованы) ? И если можно в кратце что Вы делали с помощью всех этих программ и с какова была цель. А насчёт запроса в https://forum.kasper...showtopic=48525 - не знаю. У меня ведь не был ни куплен ни установлен антивирус Касперский. Изменено 24 апреля, 2018 пользователем Pbyalsky
SQ Опубликовано 24 апреля, 2018 Опубликовано 24 апреля, 2018 Есть ли надежда увидеть свои файлы в ближайшем будущем ?Ничего гарантировать не можем, вы отслеживайте форумы, если увидете, что кому-то помогли со схожим шифровальщиком. Стоит ли установить виндовс по-новой (кроме системы ни одна программа не работает -ведь все же файлы зашифрованы) ?Это уже как решите, возможно шифровальщик зашифровал и необходимые библиотеки . И если можно в кратце что Вы делали с помощью всех этих программ и с какова была цель.Убедиться, что нет активной угрозы и в случае некоторых видом шифровальщиков (иных) возможность нашими силами расшифровки. А насчёт запроса в https://forum.kasper...showtopic=48525 - не знаю. У меня ведь не был ни куплен ни установлен антивирус Касперский. Пробуйте найти знакомых или друзей у кого куплены продукты KasperskyLab.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти