Перейти к содержанию

Вирус шифровальщик закодировал документы и фотографии


Рекомендуемые сообщения

Опубликовано

Вирус шифровальщик закодировал документы и фотографии 

расширение lbkut

mailnitrom@protonmail.ch

помогите найти дешифровщик

буду очень благодарен 

Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Кнопка "Яндекс" на панели задач

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Опубликовано

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки включите дополнительно в разделе Базовые действия:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Панель управления нажмите Сканировать.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: F - F:\LaunchU3.exe -a
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {178a5bc0-79cd-11e8-9f59-74d435c27823} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {4b4d9091-1081-11e8-a353-74d435c27823} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {68c55b97-3541-11e7-b1df-74d435c27823} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {b5bbeb2f-01fd-11e6-8bba-806e6f6e6963} - E:\Run.exe
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {bb952c25-1a1d-11e9-a828-74d435c27823} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {c92199cb-6f96-11e8-9c3f-74d435c27823} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {d5055138-1ab8-11e8-a1b9-74d435c27823} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {d681c04f-0df7-11e7-b5c1-74d435c27823} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {e5298245-c6d0-11e8-8e86-74d435c27823} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {e5d1a596-63cc-11e8-ae6b-74d435c27823} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2644231048-3921524320-2920149474-1000\...\MountPoints2: {ff96faf7-30b8-11e8-a28f-74d435c27823} - F:\HiSuiteDownLoader.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\ggpk\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2016-10-25] [Legacy]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\ggpk\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2016-10-25] [Legacy]
    C:\Users\ggpk\AppData\Local\Google\Chrome\User Data\Default\Extensions\aijcflokephhcjdmjednnmejlcacgfgb
    C:\Users\ggpk\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
    C:\Users\ggpk\AppData\Local\Google\Chrome\User Data\Default\Extensions\gjhibdohnpmibeldofflibncilhggpco
    CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [aijcflokephhcjdmjednnmejlcacgfgb]
    CHR HKLM\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
    CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
    CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Опубликовано

Какие файлы отправлять


Номер запроса:

INC000011011344
Опубликовано

Какие файлы отправлять

Несколько зашифрованных и один из файлов с именем "ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ.TXT"

 

Результат сообщите здесь, пожалуйста.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kazak89
      Автор kazak89
      Добрый день!
      Прошу прощения, но тот же компьютер снова зашифровали
       
      Прошу помощи
       
       
      CollectionLog-2017.12.13-20.00.zip
      Инструкция по расшифровке.TXT
    • asarus
      Автор asarus
      Здравствуйте!
       
      Имеем сервер  с ОС windows server 2008 + 1С, пользователи подключаются по RDP.
       
      Сегодня на рабочем столе обнаружили файл "Инструкции по расшифровке.txt" (во вложении) с угрозами, что все удалится, если не перевести деньги. Так же было замечено, что многие файлы поменяли разрешение на .scarab (пример файла в архиве прикреплен).
       
      На сервере много нужных баз данных, а последний бекап был сделан на HDD, который в свою очередь был подключен к серверу в момент заражения и вероятнее всего поврежден.
       
      1C на данным момент работает, видимых проблем пока не обнаружено.
       
      Только что скачан Kaspersky Virus Removal Tool. Он обнаружил 2 опасности и нейтрализовал их (скрины во вложении).
       
      Логи приложил.
       
      Осталась ли какая то опасность в системе ? Будет ли система дальше исправно работать? Возможно ли как-то расшифровать файлы с разрешение .scarab?
       
      На всех ПК подключаемых в серверу стоит KIS проблем и похожих симптомов у них нет. На сервере же по убеждению программистов 1с антивирус не требовался и замедлял бы работу. Руководствуясь этими доводами антивирусное ПО на сервер не ставилось.
       
      Спасибо.
       




      virusinfo_syscheck.zip
      Инструкция по расшифровке.TXT
      Настройка сертификата для 1C.doc.zip
    • Leoni_d
      Автор Leoni_d
      День добрый,
       
      зашифровались файлы , понимаю что вернуть бесполезно , но хотелось ты избавится от заразы
       
    • kirill2323
      Автор kirill2323
      День добрый.
      В продолжение https://forum.kasperskyclub.ru/index.php?showtopic=57739
      Нашел таки я компьютер зараженный. Тему перенесенную в беседку удалите пожалуйста.
      Вобщем .scarab зашифровал раб стол и документы полностью. Проверил куреит'ом. 8 файлов обезврежено.
       
       
      CollectionLog-2017.11.24-10.22.zip
    • Pavel Seregin
      Автор Pavel Seregin
      Здравствуйте, поймали вирус-шифровальщик, зашифровал машину примерно 80%, но человек выключил пк резко из розетки, удалось поймать несколько файлов а именно файл который привел к заражению, так же файл который по предположению шифровал файлы, лог собранный программой прилагаю

      Добавляю файлы от программы  Farbar Recovery Scan Tool
      CollectionLog-2017.11.23-19.11.zip
      Addition.txt
      FRST.txt
      Shortcut.txt
×
×
  • Создать...