Перейти к содержанию
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

Шифровальщик зашифровал файлы

Morfius76
 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Kaspersky Endpoint Security 10 for Window обновленная база была, но бухгалтер все равно

Эту версию нужно настраивать. В актуальной версии подобная защита встроена.

 

Java 7 Update 67 и Java 6 Update 17 - очень устаревшие и дырявые версии. Удалите и, если нужно, установите актуальную.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

uBar

Unity Web Player

Кнопка "Яндекс" на панели задач

Менеджер браузеров

Служба автоматического обновления программ

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Morfius76

Morfius76

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Kaspersky Endpoint Security 10 for Window обновленная база была, но бухгалтер все равно

Эту версию нужно настраивать. В актуальной версии подобная защита встроена.

 

Java 7 Update 67 и Java 6 Update 17 - очень устаревшие и дырявые версии. Удалите и, если нужно, установите актуальную.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

uBar

Unity Web Player

Кнопка "Яндекс" на панели задач

Менеджер браузеров

Служба автоматического обновления программ

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

В результате сканирования AdwCleaner найдены угрозы, скажите надо ли их очистить/восстановить?

AdwCleanerS00.txt

Sandor

Sandor

Опубликовано
Опубликовано

Не цитируйте предыдущее сообщение полностью. Используйте форму быстрого ответа внизу.

 

Временно деинсталлируйте Mail.Ru Agent (версия 10.0.20275)

 

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Отчёт об очистке в AdwCleaner содержит в имени файла символ [Cxx], а не [sxx].

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13916 2019-03-17] () [File not signed]
HKLM\...\Run: [C:\Users\2\AppData\Roaming\Info.hta] => C:\Users\2\AppData\Roaming\Info.hta [13916 2019-03-17] () [File not signed]
HKU\S-1-5-21-3889168566-1210120301-4075265970-1001\...\Run: [mrupdsrv] => "C:\Users\user1\AppData\Local\Mail.Ru\Update Service\mrupdsrv.exe" --u
Startup: C:\Users\2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-03-17] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2019-03-17] () [File not signed]
GroupPolicyScripts: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-3889168566-1210120301-4075265970-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3889168566-1210120301-4075265970-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3889168566-1210120301-4075265970-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2019-03-17 21:02 - 2019-03-17 21:02 - 000013916 _____ C:\Windows\system32\Info.hta
2019-03-17 21:02 - 2019-03-17 21:02 - 000013916 _____ C:\Users\2\AppData\Roaming\Info.hta
2019-03-17 21:02 - 2019-03-17 21:02 - 000000168 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-03-17 21:02 - 2019-03-17 21:02 - 000000168 _____ C:\Users\2\Desktop\FILES ENCRYPTED.txt
2019-03-17 21:02 - 2019-03-17 21:02 - 000000168 _____ C:\FILES ENCRYPTED.txt
2019-03-17 20:57 - 2019-03-15 12:46 - 000094720 _____ C:\Users\2\Downloads\reaItek.exe
2019-03-17 20:57 - 2018-11-24 16:27 - 000116224 _____ C:\Users\2\Downloads\local.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {ABA4523A-2192-41B2-8B7C-3072BC80BCCF} - System32\Tasks\Avast Software\Overseer => C:\Program Files\AVAST Software\Avast\setup\overseer.exe
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

thyrex

thyrex

Опубликовано
Опубликовано

Никуда не нужно вставлять. Читаем внимательно

Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Да. Не хочется огорчать, но скорее всего расшифровки не будет.

Так или иначе, ответ ТП сообщите здесь, пожалуйста.

Morfius76

Morfius76

Опубликовано
  • Автор
Опубликовано

Ответ ТП " Владимир, я получила сведения от Вирусных аналитиков. Предоставленные Вами файлы зашифрованы модификацией троянской программы Trojan-Ransom.Win32.Crusis. Шифровальщик использует криптографически стойкий алгоритм шифрования. Я сожалею, но расшифровка пока не возможна." :facepalm:

Sandor

Sandor

Опубликовано
Опубликовано

Ярлыки запуска программ вам придётся пересоздать вручную.

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Настройки - Удалить AdwCleaner - выберите Удалить.
  • Подтвердите удаление, нажав кнопку: Да.
Если не планируете ждать до лучших времён (появления расшифровки):

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Сергей47
      c0v1d19@job4u.com
      Автор Сергей47
      Кто-нибудь сталкивался с этим?
    • bigV
      Нужна помощь в расшифровке *.id-3E7283FC.[everyday@dr.com].myday
      Автор bigV
      Прошу помочь в расшифровке.
      Есть база данный MySQL на 6 Gb, и файловое хранилище, основная цель дешифровать эти файлы.

      Если расшифровка невозможна, прошу указать в ответе.
      Заранее благодарю.
      ----------------------
      Please help me decrypt files. There is a 6 Gb MySQL database, and file storage, the main purpose is to decrypt these files. If decryption is not possible, please indicate in the answer. Thank you in advance.
      encrypted and orig files.7z
      FILES ENCRYPTED.txt
    • Stedxem91
      Помогите спасти точки восстановления!
      Автор Stedxem91
      Здравствуйте! У меня несколько не стандартная ситуация! В организации 4 компьютера заражены вирусом шифровальщиком с почтой james2020m@aol.com, странно что не в хронологическом порядке и не с общими папками! Три из них заражены полностью, то есть камня на камне не осталось от информации, затерто буквально все что можно, но есть один, по которому он прошелся всего ничего - зашифровал три базы 1с из 20 примерно, все документы в порядке, это я смотрю через live cd. Но я также вижу, что у него живые точки восстановления! В папке system volume information, там файлы по 5 гигабайт не зашифрованы! Я так понимаю, что если я заведу компьютер в обычном режиме - то вирус продолжит свою работу! Если же не заведу - то не смогу воспользоваться точкам восстановления! Подскажите, как его остановить, чтобы можно было запустить систему и предыдущие версии баз восстановить!
      DESKPR.0.rar Подпись модуль.2.jpg.id-043779A6.[James2020m@aol.com].rar
    • test17
      PROJECTBLACK@CRIPTEXT.COM - кидалово
      Автор test17
      PROJECTBLACK@CRIPTEXT.COM
       
      Не платите выкуп данному мошеннику!
      Это кидалово.
      Деньги перечислены - декриптора нет уже неделю!
      Потеряны деньги, потеряно время.
       
      Do not pay a ransom to this fraudster!
      This is a scam.
      The money has been transferred - the descriptor has been missing for a week!
    • mixa200z
      Шифровальщик [projectblack@criptext.com].PB
      Автор mixa200z
      28.06.2021 залетел вирус  
      Каталоги 2018.zip FILES ENCRYPTED.txt
×
×
  • Создать...