зашифрованы все документы

[Mago]

Здравствуйте! Принесли компьютер с такой же проблемой. Я сделал сканирование как было предложено в сообщении №6. Что еще требуется?

Есть шанс восстановить документы?

YOUR FILES ARE ENCRYPTED.TXT

СВОД 2019 год2.xls

FRST.rar

Изменено 12 марта, 2019 пользователем Mago

[SQ]

Здравствуйте,

 

Не пишите пожалуйста в чужих темах.

 

Порядок оформления запроса о помощи.

[Mago]

Результат сборщика

CollectionLog-2019.03.14-15.17.zip

[SQ]

Здравствуйте,

 

 

AVZ выполнить следующий скрипт.

Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\gtwatch.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\fswagz.exe','');
 DeleteFile('C:\Documents and Settings\Администратор\fswagz.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','TaskMan','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

 

 

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

  

• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Mago]

 

 

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

Архив загрузил.

 

Результат загрузки

 

Файл сохранён как 190312_233639_quarantine_5c884287e1299.zip

Размер файла 35806

MD5 7e2b5f78ea444d0260ac37ee32bd7faf

Файл закачан, спасибо!

Addition.txt

FRST.txt

[SQ]

Вам знаком следующий конфигурационный файл?

C:\WINDOWS\system32\wul.cfg

По каким-то причина присутствуют битые ссылки на файлы вашего антивируса, возможно его необходимо будет вам переустановить в конце лечения.

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  Start::
  CreateRestorePoint:
  BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files\AVG\AVG2012\avgssie.dll => No File
  Toolbar: HKU\S-1-5-21-343818398-2052111302-1801674531-1006 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
  Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File
  File: C:\WINDOWS\system32\wul.cfg
  ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  ContextMenuHandlers2: [cdclose] -> {8E8E8F8A-8FCC-88CE-BCB8-B8FD8E88888A} =>  -> No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[Mago]

По каким-то причина присутствуют битые ссылки на файлы вашего антивируса, возможно его необходимо будет вам переустановить в конце лечения.

 

 

Это вообще какой то странный и очень старый антивирус. Хозяин компьютера сказал что он давно не обновлялся и он не смог его удалить. Поэтому этот антивирус до сих пор остаётся на компьютере. 

Fixlog.txt

[SQ]

Если вы хотите удалить ваш антивирус, то попробуйте использовать утилиту AVG Clear
Важно при этом не оставлять ПК без антивирусных решений.

Касаемо расшифровки, если у Вас есть лицензия на продукты Kaspersky выполните следующие инструкции:
https://forum.kasperskyclub.ru/index.php?showtopic=48525

[Mago]

Удалить то антивирус не проблема. Мне его не для этого принесли. После восстановления документов хозяин компьютера попросил поменять ему систему, так что антивирус пропадет сам. 

На счет восстановления документов. Какие файлы я могу отправить на расшифровку? Например Фото и документы microsoft office?

[SQ]

Приложите любые 2-3 файла в запросе на расшифровку (желательно чтобы не содержало конфиденциальных данных) например стандартные картинки Windows. Далее следуйте инструкциям официальной технической поддержки ЛК.

[Mago]

А остальные зашифрованные файлы? Или мне предоставят дешифратор?

[SQ]

Если найдут решение, то решение распространяется на все файлы, необходимы 2-3 для проверки. Но опять же вам никто не может гарантировать, что есть решение. Каждый случай уникальный, поэтому вам следует попробовать.

[Mago]

Отправил вчера запрос в тех. поддержку, пришел ответ что "Ваш запрос передан в Вирусную лабораторию". Буду ждать от них результата.

[Mago]

 

 

Файлы зашифрованы Trojan-Ransom.Win32.Crypmod.

К сожалению, мы не можем расшифровать файлы, зашифрованные данной модификацией трояна.

В тех. поддержке не смогли расшифровать документы.     Печально конечно, ну и бог с ними. Компьютер переустановлен  и отдан хозяину. 

[SQ]

К сожалению это случается, однако вы не спешите удалять зашифрованные файлы, может через некоторое время выпустят решение.