Перейти к содержанию

Вирус шифровальщик расширение .pumas

probst
 Поделиться

Рекомендуемые сообщения

probst Новичок

probst

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Проверил и очистил программой  AdwCleaner (by Malwarebytes) 
Отчёт отправил .


Проверил и очистил второй раз программой  AdwCleaner (by Malwarebytes) 
Отчёт отправил .


Сканировал программой  Farbar Recovery Scan Tool 32-х разрядной версией.
Файлы отчёта отправляю.

AdwCleanerC01.zip

AdwCleanerC02.zip

FRST.zip

Addition.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzOALRSj8hEsVc7UNFZ-RUAGy_a-bNuLAsIuVCLqHpQtPqwi_jgJOBbvk-apd15xDTm2GmFtjsA8r_OZrpdHMwB5zdtPN-eG1ADAGObI4ggMMx1oWRLJ9TxkuUNSUNi-vTNWmkHkqJqJeMkFkYWG9PCJZHTV3gU,
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?win=30&clid=1787308","hxxp://mail.yandex.ru/?win=30&clid=1787308","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=ticno2","hxxp://mail.ru/cnt/10445?gp=newcustom14","hxxp://mail.ru/cnt/10445?gp=801016","hxxp://mail.ru/cnt/10445?gp=821268","hxxp://mail.ru/cnt/10445?gp=820473","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=822313"
C:\Users\DEXP\AppData\Local\Google\Chrome\User Data\Default\Extensions\aojoeckcmjghlchnnenfkbflndbepjpk
CHR HKU\S-1-5-21-3806478505-2790350921-288170587-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ddadgcdmddljmpkpinkalnepdepplpkj] - hxxp://clients2.google.com/service/update2/crx
2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\Users\Все пользователи\!readme.txt
2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\Users\Администратор\!readme.txt
2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\Users\Public\Documents\!readme.txt
2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\Users\DEXP\!readme.txt
2018-11-27 12:13 - 2018-11-27 12:13 - 000001139 _____ C:\ProgramData\!readme.txt
2018-11-27 12:11 - 2018-11-27 12:16 - 000000000 ____D C:\Users\DEXP\AppData\Local\9d2830cd-bc33-4a66-9796-99e6c39d7cf5
2018-11-27 12:11 - 2018-11-27 12:11 - 000000049 _____ C:\Users\DEXP\AppData\Local\script.ps1
2018-11-27 12:10 - 2018-12-03 12:15 - 000000000 ____D C:\Users\DEXP\AppData\Local\4f3a0f98-77b8-4cd0-a882-8f0e86d3ca5c
2018-10-26 16:33 - 2018-10-26 16:33 - 000140800 _____ () C:\Users\DEXP\AppData\Local\installer.dat
2018-10-26 16:39 - 2018-10-26 16:39 - 000005568 _____ () C:\Users\DEXP\AppData\Local\md.xml
2018-10-26 16:39 - 2018-10-26 16:43 - 000126464 _____ () C:\Users\DEXP\AppData\Local\noah.dat
2018-11-28 02:13 - 2018-11-28 02:15 - 000333824 _____ () C:\Users\DEXP\AppData\Local\Temp\11E3.tmp.exe
2018-11-30 14:21 - 2018-11-30 14:21 - 000197376 _____ () C:\Users\DEXP\AppData\Local\Temp\72C9.tmp.exe
2018-12-03 14:15 - 2018-12-03 14:15 - 000092160 _____ () C:\Users\DEXP\AppData\Local\Temp\8FB3.tmp.exe
2018-11-26 09:31 - 2018-11-26 09:31 - 002532352 _____ (WC35SB0@) C:\Users\DEXP\AppData\Local\Temp\BH09J80V7PFV.exe
2018-12-03 09:01 - 2018-12-03 09:01 - 000182784 _____ () C:\Users\DEXP\AppData\Local\Temp\C24D.tmp.exe
2018-11-26 09:06 - 2018-11-26 09:06 - 000821760 _____ () C:\Users\DEXP\AppData\Local\Temp\rer.exe
2018-11-26 09:32 - 2018-11-26 09:32 - 002532352 _____ (WC35SB0@) C:\Users\DEXP\AppData\Local\Temp\RPIRLJ1AKSFI.exe
AlternateDataStreams: C:\Users\DEXP:.repos [6509764]
AlternateDataStreams: C:\Users\DEXP\Dropbox:user.myxattr [0]
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "5888271"
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "4299742"
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "3249142"
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "UVHBHQCY2T6K1IQ"
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "XBPE81CXWGSXO20"
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "LLVFT40PJ6WYHAE"
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "1516574"
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "5353063"
HKU\S-1-5-21-3806478505-2790350921-288170587-1001\...\StartupApproved\Run: => "4909733"
FirewallRules: [{C4A7DCBF-C88B-4DF3-B03E-5EDC94EA0150}] => (Allow) C:\WINDOWS\rss\csrss.exe
FirewallRules: [{E0F33062-F028-4451-B387-A6FC67AFC938}] => (Allow) C:\Users\DEXP\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{B52A6005-CE13-47A4-8077-81405DC0E01A}] => (Allow) C:\WINDOWS\rss\csrss.exe
FirewallRules: [{2A660CEB-16E2-4CC8-BC1C-EF3D3AAE136E}] => (Allow) C:\Users\DEXP\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{604A3341-8EFA-4F1E-BD51-46C2A777A237}] => (Allow) C:\WINDOWS\rss\csrss.exe
FirewallRules: [{D8535C81-A8BD-4F58-BD2E-77BD91BB625F}] => (Allow) C:\Users\DEXP\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
FirewallRules: [{40427318-0CDE-4141-BE47-8CECB4A98FA7}] => (Allow) C:\WINDOWS\rss\csrss.exe
FirewallRules: [{F036DF9D-90F0-4294-979A-743524E1F826}] => (Allow) C:\Users\DEXP\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
probst Новичок

probst

Опубликовано
  • Автор
Опубликовано

Ок. Продолжу в понедельник.


Перестала работать клавиатура, пишу с помощью экранной клавиатуры.

Перезагрузка результата не дала.

Это так должно быть?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.1593.14393.0 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 62.0.3 (x86 ru) v.62.0.3 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Tor Browser 5.5.8 v.5.5.8 Внимание! Скачать обновления

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AlexYarm
      Вирус-шифровальщик Hardbit4
      Автор AlexYarm
      Зашифровались файлы. Расширение файлов hardbit4. Прилагаю необходимые архивы. Прошу помочь с расшифровкой.
      Hardbit4Virus.zip
    • vasia15
      вирус похож на шифровальщик
      Автор vasia15
      вирус блокирует возможность скачать антивирус,все программы заполняет кракозябрами,установить нет возможности.прошу помощи.сам не справляюсь.
    • Fantamax
      Шифровальщик - вымогатор поменял расширение файлов на i54m390g5b4
      Автор Fantamax
      Добрый день. Сегодня в 6 утра вирус поменял расширение у многих файлов и зашифровал. 
      Похожая тема была, но у меня есть бекапы некоторых файлов, можно ли расшифровать (файл бекапа тоже прикрепил в архив):
       
      Addition.txt FRST.txt files.rar
    • escadron
      Вирус-шифровальщик из далекого 2015 года
      Автор escadron
      В далеком 2015 году скачал какую-то фигню на комп, потерял практически все фотографии и видео. Получил от матери по шапке и благополучно об этом забыл.
      Сейчас же внезапно захотелось восстановить файлы, если, конечно, это возможно.
      Из-за ограничений формата прикрепляемых файлов не могу предоставить пример зашифрованных данных.
      Файл с почтой/другой информацией (README**.txt) либо был утерян, либо же вообще не появлялся на компьютере.
      Надеюсь, знатоки смогут помочь.
    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
×
×
  • Создать...