Перейти к содержанию
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Дешифровка файлов, вирус Trojan.Win32.Agent.nezeod

Алексей Ананьев

Автор Алексей Ананьев
в Помощь в борьбе с шифровальщиками-вымогателями

 Поделиться

Рекомендуемые сообщения

Алексей Ананьев Новичок

Алексей Ананьев

Опубликовано
Опубликовано

Доброго времени суток, при запуске компьютера на фоновом изображении рабочего стола написано "Внимание! Все важнейшие файлы на всех дисках вашего компьютера были зашифрованы. Подробности можете прочитать в файлах README.txt, которые можно найти на любом из дисков.". Файл README.txt прикрепил к теме.

Я скачал Kaspersky Virus Removal Tool, были обнаружены и удалены вирусы, отчет приложен- файлы KVRT,KVRT2.

Как произвести дешифровку файлов?

Спасибо.

CollectionLog-2018.12.15-18.25.zip

post-52251-0-16475600-1544893843_thumb.png

post-52251-0-08021400-1544893844_thumb.png

README1.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Как и предполагал, это Shade и расшифровки нет.

 

Только зачистка мусора.

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
Toolbar: HKU\S-1-5-21-3622270217-2551357437-493787613-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  No File
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3622270217-2551357437-493787613-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mfmjpfoggikolkfilofbpgcnhdcgahib] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pfjgibhmcgncmjhdodpaolfbjpjjajal] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
S2 wlanmgr; %SystemRoot%\System32\wlanmgr.dll [X]
S2 wsaudio; %SystemRoot%\System32\wsaudio.dll [X]
S3 EsgScanner; no ImagePath
2018-12-12 18:55 - 2018-12-13 19:25 - 000000000 __SHD C:\Users\Все пользователи\Resources
2018-12-12 18:55 - 2018-12-13 19:25 - 000000000 __SHD C:\ProgramData\Resources
2018-12-12 18:55 - 2018-12-13 18:59 - 000000000 __SHD C:\Users\Все пользователи\SysWOW64
2018-12-12 18:55 - 2018-12-13 18:59 - 000000000 __SHD C:\ProgramData\SysWOW64
2018-12-12 18:53 - 2018-12-13 19:25 - 000000000 __SHD C:\Users\Все пользователи\services
2018-12-12 18:53 - 2018-12-13 19:25 - 000000000 __SHD C:\ProgramData\services
2018-12-12 18:20 - 2018-12-12 18:20 - 006220854 _____ C:\Users\Alex\AppData\Roaming\34BE8FB234BE8FB2.bmp
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README9.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README8.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README7.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README6.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README5.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README4.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README3.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README2.txt
2018-12-12 18:20 - 2018-12-12 18:20 - 000004150 _____ C:\Users\Alex\Desktop\README10.txt
2018-12-11 19:50 - 2018-12-12 18:59 - 000000000 __SHD C:\Users\Все пользователи\Windows
2018-12-11 19:50 - 2018-12-12 18:59 - 000000000 __SHD C:\ProgramData\Windows
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => C:\Users\Alex\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
AlternateDataStreams: C:\Windows\system32\icardagt.exe:$CmdTcID [130]
AlternateDataStreams: C:\Windows\system32\icardres.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\IEUDINIT.EXE:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\infocardapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\system32\TsWpfWrp.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\icardagt.exe:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\icardres.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\infocardapi.dll:$CmdTcID [64]
AlternateDataStreams: C:\Windows\SysWOW64\TsWpfWrp.exe:$CmdTcID [64]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [146]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [146]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Восстанавливать из резервных копий, если таковые имеются. Если нет, увы. Помогут только сами злодеи, если они окажутся честными.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Redgektor11
      [РЕШЕНО] Вирусы Trojan.Multi.Agent.gen и Trojan.Win32.SEPEH.gen
      Автор Redgektor11
      Здравствуйте.
      Прошу помощи с удалением вирусов Trojan.Multi.Agent.gen и Trojan.Win32.SEPEH.gen

      Касперский не находит их но удалить не получается, после лечения при повторной проверке они появляются снова.
      Проявляются вирусы в постоянной загрузке одного ядра процессора и загрузке видеокарты. При открытии диспетчера задач нагрузка пропадает, но не надолго.

      Пробовал сканировать при помощи Dr.Web CureIt! но безрезультатно.
       
      CollectionLog-2025.05.14-21.21.zip
    • NotDev
      [РЕШЕНО] Trojan.Win32.Shellcode.btx попался на майнер
      Автор NotDev
      Доброго времени суток. Помогите пожалуйста. Собственно, скачал с яндекса Notepad++, сайт индексировался выше, чем оригинальный сайт, не заметил этого. Просканировал с помощью ESET и KVRT. Вылечил файлы, отправил с помощью AVZ по данной форме файл Форма отправки карантина, а потом наткнулся на данную тему.
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста - Помощь в удалении вирусов - Kaspersky Club | Клуб «Лаборатории Касперского»

      файлы точно такие же, директории тоже и происходит точно такая же ситуация.
      Сам "установочный файл" отправил на any.run, результат можете посмотреть тут
      https://app.any.run/tasks/6cc9f3a2-26a3-4175-a5e9-157595baa225

      1) AutoLogger - логи с него.
      2) Farbar Recovery Scan Tool - так же лог с него.

      Шаг с AVZ был пропущен, так как я уже выполнил скрипт и отправил на форму.
      CollectionLog-2025.07.06-21.02.zip FRST.zip
    • orbita06
      вирус зашифровал файлы
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • godstar
      updater.exe файл-вирус, также майнер
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • zsvnet
      файлы зашифрованы вирусом
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
×
×
  • Создать...