Перейти к содержанию

helperdisk.cocl.li

polduima
 Поделиться

Рекомендуемые сообщения

polduima

polduima

Опубликовано
Опубликовано

Добрый день, прошу помощи. На компьютере троян зашифровал файлы. Есть ли возможность дешифровки?

Помогите пожалуйста. Пару файлов оригинал и зашифрованный прикрепил. Заранее спасибо.

id-A0E044E7.helperdisk@cock.li.rar

Sandor

Sandor

Опубликовано
Опубликовано

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Но с высокой долей вероятности предположу, что расшифровки нет.

 

Если нужна помощь в очистке следов и мусора, дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

regist

regist

Опубликовано
Опубликовано

+ просьба сделайте экспорт, заархивируйте и прикрепите этих двух ключей реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AeLookupSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ALG
polduima

polduima

Опубликовано
  • Автор
Опубликовано (изменено)

 

+ просьба сделайте экспорт, заархивируйте и прикрепите этих двух ключей реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AeLookupSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ALG

alg.rar

Изменено пользователем polduima
Sandor

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {6f8cdc81-314d-11e6-ab8d-0000f07c538a} - "E:\Install MegaFon Internet.exe"
HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {a7b5a2e2-1c10-11e6-a18d-0000f07c538a} - "E:\Install MegaFon Internet.exe"
HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {d62d80e8-1c04-11e6-b178-0000f07c538a} - "E:\Install MegaFon Internet.exe"
HKU\S-1-5-21-282548010-2589410612-3829131396-1000\...\MountPoints2: {d62d80f6-1c04-11e6-b178-0000f07c538a} - "E:\Install MegaFon Internet.exe"
Startup: C:\Users\Galechka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\logs.exe [2019-10-21] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
Task: {A10FC12A-772B-46D1-9A9B-F23DE34F31FF} - System32\Tasks\Realtek HD Audio => C:\Users\User\AppData\Roaming\GHISLER\Realtek HD\rthdcpl.exe <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] - hxxp://clients2.google.com/service/update2/crx
2019-10-22 10:01 - 2019-10-22 10:07 - 000000214 _____ C:\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\Все пользователи\Desktop\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\User\Desktop\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 10:07 - 000000214 _____ C:\ProgramData\Desktop\FILES ENCRYPTED.txt
2019-10-22 08:36 - 2019-10-22 09:24 - 000000214 _____ C:\Users\FILES ENCRYPTED.txt
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-282548010-2589410612-3829131396-1000_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> no filepath
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

polduima

polduima

Опубликовано
  • Автор
Опубликовано

Добрый день. Скажите пож-та, я правильно понимаю, что все эти манипуляции помогут мне почистить систему, но никаким образом не влияют на возможность дешифровки нескольких ценных файлов?

Если так, то еще раз благодарю за помощь.

 

Думаю на этом тему можно закрывать....

 

P.S.

 

Чистить систему не буду.. Снесу все и поставлю начисто...

Нужные файлы в зашифрованном виде скопировал на отдельную флешку. Буду ждать может появится дешифратор когда-то.

Хотя я думаю, что к тому времени файлы станут неактуальны....

 

Еще раз спасибо за помощь.

Sandor

Sandor

Опубликовано
Опубликовано

не влияют на возможность дешифровки

Верно, не влияют.

Только переустанавливать систему не обязательно. Скрипт дочистит кое-какой мусор, а вымогателя в системе уже нет.

Впрочем, ваше право.

 

На будущее почитайте Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Anvar
      Нужна помощь в расшифровке файлов после UDS:Trojan-Banker.Win32.Emotet.sb и VHO:Trojan.Win32.Agent.qwhqxf
      Автор Anvar
      Приветствую,
      Форумчане нужна помощь в расшифровке после шифровальщика!
       
      Словил пару троянов:
      UDS:Trojan-Banker.Win32.Emotet.sb
      VHO:Trojan.Win32.Agent.qwhqxf
       
      В итоге зашифрованы все файлы. Расширение .PPTX
       
      Предлагает купить расшифровщик с http://huhighwfn4jihtlz.onion/sdlsgdewwbhr   На компе больше 360 гб видео и фото(        
    • Виталий88
      Trojan-Ransom.Win32.Rakhni decryption tool
      Автор Виталий88
      добрый день, сегодня пришел на работу и не смог открыть не один документ. Все файлы имеют расширение id-.[shadowblacksea@qq.com].wallet. В диспетчере задач висит и даже не скрывается Trojan-Ransom.Win32.Rakhni decryption tool. Можно ли как то восстановить зашифрованные файлы и убить эту заразу? Dr.web как и касперский угроз не нашли
        CollectionLog-2017.04.25-13.53.zip
    • Чайник Тата
      По электронной почте пришло письмо с шифровальщиком
      Автор Чайник Тата
      По электронной почте пришло письмо с вложенным архивом двух счетов на оплату.  После открытия счетов на оплату были зашифрованы  файлы MS Office и PDF .
        Заражение произошло 23 января  2017 года ориентировочно в 7-40 утра.
      Запуск утилиты Dr WEB устранил 1 угрозу.
      Самостоятельно восстановила файлы MS Office и PDF находящиеся на диске С из сохранившегося архива.
      А вот файлы с диска D восстановить не смогла.CollectionLog-2017.01.27-00.42.zipRUCFE-18OEF-TXXXT-ZTORA-TXZKR-RTROK.HTMLreport2.log
    • Rusik Rusik
      Trojan-Downloader.JS.Agent.myo вирус шифровальщик
      Автор Rusik Rusik
      Здравствуйте. Есть проблема с удалением, но главное с расшифровкой файлов. Утилиты и программы с сайта Касперски, не помогли. Вирус шифрует файлы (изображения, документы)  на имя_файла.старое расширение.1txt
      Trojan-Downloader.JS.Agent.myo название вируса
       
      Могу скинуть архив с вирусом, по запросу.
×
×
  • Создать...