Перейти к содержанию

Дешифровка файлов, вирус Trojan.Win32.Agent.nezeod

Алексей Ананьев

Автор Алексей Ананьев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей Ананьев

Алексей Ананьев

Опубликовано
Опубликовано

Доброго времени суток, при запуске компьютера на фоновом изображении рабочего стола написано "Внимание! Все важнейшие файлы на всех дисках вашего компьютера были зашифрованы. Подробности можете прочитать в файлах README.txt, которые можно найти на любом из дисков.". Файл README.txt прикрепил к теме.

Я скачал Kaspersky Virus Removal Tool, были обнаружены и удалены вирусы, отчет приложен- файлы KVRT,KVRT2.

Как произвести дешифровку файлов?

Спасибо.

CollectionLog-2018.12.15-18.25.zip

post-52251-0-16475600-1544893843_thumb.png

post-52251-0-08021400-1544893844_thumb.png

README1.txt

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

Как и предполагал, это Shade и расшифровки нет.

 

Только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
Toolbar: HKU\S-1-5-21-3622270217-2551357437-493787613-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
S2 wlanmgr; %SystemRoot%\System32\wlanmgr.dll [X]
S2 wsaudio; %SystemRoot%\System32\wsaudio.dll [X]
S3 EsgScanner; no ImagePath
2018-12-12 18:55 - 2018-12-13 19:25 - 000000000 __SHD C:\Users\Все пользователи\Resources
2018-12-12 18:55 - 2018-12-13 19:25 - 000000000 __SHD C:\ProgramData\Resources
2018-12-12 18:55 - 2018-12-13 18:59 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2018-12-12 18:55 - 2018-12-13 18:59 - 000000000 __SHD C:\ProgramData\SysWOW64
2018-12-12 18:53 - 2018-12-13 19:25 - 000000000 __SHD C:\Users\Все пользователи\services
2018-12-12 18:53 - 2018-12-13 19:25 - 000000000 __SHD C:\ProgramData\services
2018-12-12 18:20 - 2018-12-12 18:20 - 006220854 _____ C:\Users\Alex\AppData\Roaming\34BE8FB234BE8FB2.bmp
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README9.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README8.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README7.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README6.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README5.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README4.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README3.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README2.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README10.txt
2018-12-11 19:50 - 2018-12-12 18:59 - 000000000 __SHD C:\Users\Все пользователи\Windows
2018-12-11 19:50 - 2018-12-12 18:59 - 000000000 __SHD C:\ProgramData\Windows
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
AlternateDataStreams: C:\Windows\system32\icardagt.exe:$CmdTcID [130]
AlternateDataStreams: C:\Windows\system32\icardres.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\IEUDINIT.EXE:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\infocardapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\TsWpfWrp.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\icardagt.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\icardres.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\infocardapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\TsWpfWrp.exe:$CmdTcID [64]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [146]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [146]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Алексей Ананьев

Алексей Ананьев

Опубликовано
  • Автор
Опубликовано

Как можно выйти из ситуации? Фото, текстовики также зашифрованы

thyrex

thyrex

Опубликовано
Опубликовано

Восстанавливать из резервных копий, если таковые имеются. Если нет, увы. Помогут только сами злодеи, если они окажутся честными.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • hitachi72
      Файлы зашифрованы
      Автор hitachi72
      Добрый день! Помогите пожалуйста! Проблема та же, защитник виндовс удалил вредоносные файлы, высылаю отчеты, выполненные второй программой
      Addition.txt
      FRST.txt
      FRST.txt
    • alexsmag
      *.no_more_ransom
      Автор alexsmag
      Здравствуйте. Поймали вирус,файлы зашифрованы с расширением *.no_more_ransom. Была произведена проверка Dr. Web CureIt,KRT, Malwarebytes. Спасибо!
      CollectionLog-2017.04.12-16.34.zip
    • Николай123
      Зашифрованы файлы "NO_MORE_RANSOM" (.no_more_ransom)
      Автор Николай123
      Доброго времени суток. Проблема состоит в том что было получено письмо на почту с вирусом и теперь все важные файлы зашифрованы с расширением "NO_MORE_RANSOM" (.no_more_ransom). Прошу помочь с расшифровкой.
      CollectionLog-2017.04.05-23.10.zip
    • yapsinbox
      расшифровать Файлы "NO_MORE_RANSOM" Novikov.Vavila@gmail.com
      Автор yapsinbox
      Здравствуйте помогите расшифровать Файлы с расширением "NO_MORE_RANSOM".   (Novikov.Vavila@gmail.com)
      9bdNcnMBrVg9HGPJ4oTHhYzUuDrOqm0mrnm3xYtetuQ=.0A738C3FB958A600BF86.no_more_ransom
      README1.txt
    • pro100passer
      зашифровано no_more_ransom
      Автор pro100passer
      Доброго времени суток, посоветуйте что делать, зашифровались файлы на рабочем компе , читал темы по данному вопросу везде пишут что подход к лечению индивидуальный по этому и создал данную тему
      вопросов в принципе два:
      1) можно ли вылечить компьютер
      2) существует ли возможность дешифровки файлов
×
×
  • Создать...