Перейти к содержанию

Дешифровка файлов, вирус Trojan.Win32.Agent.nezeod

Алексей Ананьев

От Алексей Ананьев
в Помощь в борьбе с шифровальщиками-вымогателями

 Share

Рекомендуемые сообщения

Алексей Ананьев Новичок

Алексей Ананьев

Опубликовано
Опубликовано

Доброго времени суток, при запуске компьютера на фоновом изображении рабочего стола написано "Внимание! Все важнейшие файлы на всех дисках вашего компьютера были зашифрованы. Подробности можете прочитать в файлах README.txt, которые можно найти на любом из дисков.". Файл README.txt прикрепил к теме.

Я скачал Kaspersky Virus Removal Tool, были обнаружены и удалены вирусы, отчет приложен- файлы KVRT,KVRT2.

Как произвести дешифровку файлов?

Спасибо.

CollectionLog-2018.12.15-18.25.zip

post-52251-0-16475600-1544893843_thumb.png

post-52251-0-08021400-1544893844_thumb.png

README1.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Как и предполагал, это Shade и расшифровки нет.

 

Только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
Toolbar: HKU\S-1-5-21-3622270217-2551357437-493787613-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
S2 wlanmgr; %SystemRoot%\System32\wlanmgr.dll [X]
S2 wsaudio; %SystemRoot%\System32\wsaudio.dll [X]
S3 EsgScanner; no ImagePath
2018-12-12 18:55 - 2018-12-13 19:25 - 000000000 __SHD C:\Users\Все пользователи\Resources
2018-12-12 18:55 - 2018-12-13 19:25 - 000000000 __SHD C:\ProgramData\Resources
2018-12-12 18:55 - 2018-12-13 18:59 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2018-12-12 18:55 - 2018-12-13 18:59 - 000000000 __SHD C:\ProgramData\SysWOW64
2018-12-12 18:53 - 2018-12-13 19:25 - 000000000 __SHD C:\Users\Все пользователи\services
2018-12-12 18:53 - 2018-12-13 19:25 - 000000000 __SHD C:\ProgramData\services
2018-12-12 18:20 - 2018-12-12 18:20 - 006220854 _____ C:\Users\Alex\AppData\Roaming\34BE8FB234BE8FB2.bmp
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README9.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README8.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README7.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README6.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README5.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README4.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README3.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README2.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README10.txt
2018-12-11 19:50 - 2018-12-12 18:59 - 000000000 __SHD C:\Users\Все пользователи\Windows
2018-12-11 19:50 - 2018-12-12 18:59 - 000000000 __SHD C:\ProgramData\Windows
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
AlternateDataStreams: C:\Windows\system32\icardagt.exe:$CmdTcID [130]
AlternateDataStreams: C:\Windows\system32\icardres.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\IEUDINIT.EXE:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\infocardapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\TsWpfWrp.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\icardagt.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\icardres.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\infocardapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\TsWpfWrp.exe:$CmdTcID [64]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [146]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [146]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Восстанавливать из резервных копий, если таковые имеются. Если нет, увы. Помогут только сами злодеи, если они окажутся честными.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • koshelev_forwor
      Trojan.Win32.SEPEH.gen
      От koshelev_forwor
      Извините, нашел на форуме топик по удалению Trojan.Win32.SEPEH.gen, не смог открыть некоторые изображения и файлы, буду благодарен за персональную помощь, т.к мало что понимаю из текста того топика. Касперский вроде что-то делает, а каждый раз после перезагрузки вылетает предупреждение. 
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • ipostnov
      [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • TVagapov
      Помощь в дешифровке DarkStar
      От TVagapov
      14 августа вечером на компанию совершена атака шифровальщиком. Заражён контроллер домена, антивирус с обновлёнными базами не среагировал. Часть компьютерв в сети оказались заражены. На заражённых машинах антивирус присутствовал, но при нажатии на иконку в спулере, пункты меню отвечающие за проверку были серыми (недоступными).  На двух машинах при авторизации сработал антивирус, определил HEUR:Trojan-Ransom.Win32.Convagent.gen Объект: \\***.RU\\net;logon\ds.exe
       
      Прикладываю логи сканера, требования, образцы зашифрованых и оригинальных файлов.
       
      Требуется помощь в дешифровке файлов и определении стратегии восстановления и защиты от данного вируса.
      Logs_Files.7z
    • woknelam
      [РЕШЕНО] Прилип не удаляется Trojan.Win32.SEPEH.gen
      От woknelam
      Здравствуйте. Не удаляется троян. Trojan.Win32.SEPEH.gen Вроде бы лечит, потом выдает синий экран , перезагрузка и все заново
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
×
×
  • Создать...