Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Добрый день, прошу помощи. На компьютере троян зашифровал файлы. Есть ли возможность дешифровки?

Помогите пожалуйста. Пару файлов оригинал и зашифрованный прикрепил. Заранее спасибо.

id-A0E044E7.helperdisk@cock.li.rar

Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Но с высокой долей вероятности предположу, что расшифровки нет.

 

Если нужна помощь в очистке следов и мусора, дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

+ просьба сделайте экспорт, заархивируйте и прикрепите этих двух ключей реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AeLookupSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ALG
Опубликовано (изменено)

 

+ просьба сделайте экспорт, заархивируйте и прикрепите этих двух ключей реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AeLookupSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ALG

alg.rar

Изменено пользователем polduima
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {6f8cdc81-314d-11e6-ab8d-0000f07c538a} - "E:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {a7b5a2e2-1c10-11e6-a18d-0000f07c538a} - "E:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {d62d80e8-1c04-11e6-b178-0000f07c538a} - "E:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {d62d80f6-1c04-11e6-b178-0000f07c538a} - "E:\Install MegaFon Internet.exe"
    Startup: C:\Users\Galechka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\logs.exe [2019-10-21] () [File not signed]
    GroupPolicy: Restriction ? <==== ATTENTION
    Task: {A10FC12A-772B-46D1-9A9B-F23DE34F31FF} - System32\Tasks\Realtek HD Audio => C:\Users\User\AppData\Roaming\GHISLER\Realtek HD\rthdcpl.exe <==== ATTENTION
    CHR HKLM\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
    2019-10-22 10:01 - 2019-10-22 10:07 - 000000214 _____ C:\FILES ENCRYPTED.txt
    2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
    2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\User\Desktop\FILES ENCRYPTED.txt
    2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
    2019-10-22 08:36 - 2019-10-22 09:24 - 000000214 _____ C:\Users\FILES ENCRYPTED.txt
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
    AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Добрый день. Скажите пож-та, я правильно понимаю, что все эти манипуляции помогут мне почистить систему, но никаким образом не влияют на возможность дешифровки нескольких ценных файлов?

Если так, то еще раз благодарю за помощь.

 

Думаю на этом тему можно закрывать....

 

P.S.

 

Чистить систему не буду.. Снесу все и поставлю начисто...

Нужные файлы в зашифрованном виде скопировал на отдельную флешку. Буду ждать может появится дешифратор когда-то.

Хотя я думаю, что к тому времени файлы станут неактуальны....

 

Еще раз спасибо за помощь.

Опубликовано

не влияют на возможность дешифровки

Верно, не влияют.

Только переустанавливать систему не обязательно. Скрипт дочистит кое-какой мусор, а вымогателя в системе уже нет.

Впрочем, ваше право.

 

На будущее почитайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...