[РАСШИФРОВАНО] Восстановление файлов после вируса wannacash

[Михаил Резенов]

Добрый день!

Помогите пожалуйста восстановить фалы на компьютере после вируса wannacash.

Проверил компьютер с помощью Kaspersky Virus Removal Tool 2015, удалил подозрительные файлы.

Воспользовался AutoLogger и Farbar Recovery Scan Tool. Логи во вложении.

Заранее спасибо!

Addition.txtFRST.txtCollectionLog-2020.09.23-16.20.zip

[Sandor]

Здравствуйте!

 

Образцы зашифрованных файлов прикрепите в архиве.

[Михаил Резенов]

Образцы во вложении.

Пример.rar

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

DriverPack Cloud

Менеджер браузеров

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Михаил Резенов]

Нежелательное ПО удалил.

Во вложении результаты работы программы AdwCleaner:

AdwCleaner[S00].txt

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Михаил Резенов]

1.  AdwCleaner[C01].txt

2. Addition.txtFRST.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  Task: {03A9010B-B1C8-4E32-A714-CE07AC539970} - System32\Tasks\DriverPack Cloud Event Trigger => powershell -ExecutionPolicy Bypass -File "C:\Users\Home\AppData\Roaming\DriverPack Cloud\trigger-get.ps1"
  Task: {3E873770-BDE7-4291-92FE-9C5561BDF4E5} - \DriverPack Cloud Admin -> No File <==== ATTENTION
  Task: {51D55AB7-FAB7-461E-9CAB-BE67A7503D95} - \DriverPack Cloud -> No File <==== ATTENTION
  Task: {99FA8886-855F-4453-8072-E50F7A5F7F85} - \DriverPack Cloud Autoupdate -> No File <==== ATTENTION
  
  Task: {4938ABA1-D38D-4D9B-8625-029A17E065AF} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1741416 2020-09-18] (Avast Software s.r.o. -> Avast Software)
  C:\Users\Home\AppData\Local\Google\Chrome\User Data\Default\Extensions\lgdnilodcpljomelbbnpgdogdbmclbni
  
  Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  
  FirewallRules: [{B3329D12-511F-4E75-A8BD-7D82F9371CE9}] => (Allow) LPort=2869
  FirewallRules: [{1552A105-AD05-44CA-BE2B-E89C6848F157}] => (Allow) LPort=1900
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

В перечне установленных программ появится Менеджер браузеров - удалите его.

[Михаил Резенов]

Fixlog.txt

Не удается удалить менеджер браузеров

[Sandor]

Пробуйте удалить принудительно через Geek Uninstaller

[Михаил Резенов]

Удалилось через принудительное)

[Sandor]

Некоторое время подождите ответа @thyrex

[thyrex]

Проверьте ЛС.

[Михаил Резенов]

Урааа!!!

Удалось восстановить документы.

Огромное спасибо за помощь!!!

[Sandor]

Отлично!

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.