Перейти к содержанию

Большинство файлов на компьютере зашифровали


Рекомендуемые сообщения

Здравствуйте
Столкнулся с проблемой зашифрованных файлов на моём пк, в какой момент это произошло и после каких действий сказать точно не могу, так же обнаружил что был удалён антивирус, утром он ещё был.
Все файлы переименованы с ссылкой {yourdataonline@aliyun.com}, можно ли их спасти?
Прикрепляю логи и некоторые файлы в том числе и файл с некоторой инструкцией который удалось найти

Addition.txt FRST.txt Архив WinRAR.rar

Чуть не забыл про само требование

RESTORE_FILES_INFO.txt

Изменено пользователем MatroskinPR
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    Startup: C:\Users\john\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mystartup.lnk [2021-04-02]
    ShortcutTarget: mystartup.lnk -> C:\Users\Unknown\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
    2021-04-02 15:32 - 2020-10-31 02:36 - 001179648 _____ (wj32) C:\Users\john\Documents\PHru.exe
    2021-04-02 15:32 - 2019-12-17 15:12 - 000035328 _____ () C:\Users\john\Documents\pass.exe
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\rdp
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\ProgramData\ESET
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files\RDP Wrapper
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files\ESET
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files\Common Files\McAfee
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files (x86)\Panda Security
    2021-03-27 12:14 - 2021-03-27 12:14 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
    2021-03-27 12:13 - 2021-04-02 15:51 - 000000000 __SHD C:\ProgramData\install
    2021-03-27 12:13 - 2021-04-02 15:32 - 000000000 __SHD C:\ProgramData\WindowsTask
    2021-03-27 12:13 - 2021-04-02 15:32 - 000000000 __SHD C:\ProgramData\Windows
    2021-03-27 12:13 - 2021-03-27 12:22 - 000000000 __SHD C:\ProgramData\RealtekHD
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Setup
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\RunDLL
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Norton
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\McAfee
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\grizzly
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\Doctor Web
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\ProgramData\360safe
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\SpyHunter
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\Malwarebytes
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\Kaspersky Lab
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\COMODO
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\Cezurity
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\ByteFence
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files\AVG
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\AVG
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\Program Files (x86)\360
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\KVRT_Data
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 __SHD C:\AdwCleaner
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\Windows\speechstracing
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\ProgramData\System32
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\ProgramData\MB3Install
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\ProgramData\Malwarebytes
    2021-03-27 12:13 - 2021-03-27 12:13 - 000000000 ____D C:\ProgramData\Indus
    hosts:
    zip:C:\FRST\Quarantine

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Сделайте новый логи FRST. 

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Вот новые логи и фикс, так же создался файл с временем и датой, попытался загрузить через форму выдало ошибку "Данный файл уже был загружен"

Addition.txt Fixlog.txt FRST.txt

Изменено пользователем MatroskinPR
Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, mike 1 сказал:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод

Не выполнено. Выделил специально цветом, но все равно не обратили внимания. 

 

Удалите или заблокируйте учетную запись john, если ее не создавали сами. 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    () [Файл не подписан] C:\ProgramData\Windows\rutserv.exe
    U3 aswbdisk; отсутствует ImagePath
    Unlock: C:\ProgramData\Windows
    C:\ProgramData\Windows

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Вот следующие логи фикса и новые логи сконирования, создавал в юникоде, учетной записи john не обнаружил.

Fixlog.txt

Addition.txt FRST.txt

Изменено пользователем MatroskinPR
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот в кодировке Юникод и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    C:\ProgramData\Windows\rutserv.exe
    2021-03-27 12:14 C:\ProgramData\Avira
    CMD: net user john /delete
    

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Удалите папку C:\ProgramData\Windows.  

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От PavelWRC
      Здравствуйте! Такая ситуация: на ПК проникла зараза, помещающая файлы в архив. На архив ставится пароль. При этом запароленный архив остается на ПК. Прошу помощи в расшифровке. На ПК был установлен AnyDesk, однако пароль для доступа через него был достаточно надежным, содержал символы разных регистров, цифры и специмволы. Интуитивно грешу на то, что архив с паролем был создан человеком вручную, а не какой либо вредоносной программой, возможно доступ через AnyDesk был кем то перехвачен. Согласно правилам форума прикладываю отчеты, составленные программой Farbar Recovery Scan Tool, образцы возможной найденной заразы (найдены при помощи Dr.Web CureIT) и файл с требованиями. Сам запароленый архив (объем более 5 Гб) доступен на яндекс.диске по ссылке: https://disk.yandex.ru/d/vnfKTFssSfa6_Q
      Addition.txt FRST.txt Образцы и файл с требованиями.rar
    • От sho_f
      Добрый день!
      Были зашифрованы все файлы, можно как-то помочь?
      Зашифрованные файлы и логи во вложении.
      пример.7z
    • От Дмитрий1979
      Здравствуйте, помогите с расшифровкой данных 
      Addition.txt FRST.txt
    • От Lamer_v
      Скажите пожалуйста на одном с компьютеров в компании обнаружено зашифрованы данные с расширением  *.Decryptioncenter2016@gmail.com][MJ-ZS2541839067].DECcenter помогите восстановить зашифрованные файлы, данный комп выключен сети. 

    • От makcsab
      Добрый день! Залетел шифровальщик, судя по всему через RDP  т.к. комп торчал нарушу портом 😬 (это уже исправили)
      Т.к. ПК был сразу выключен по питанию большого вреда нанести не удалось, но какие-то следы остались. 
      Из планировщика заданий было удалено задание которое запускало файл XMRLocker.exe который в свою очередь должен был лежать в папке ProgramData (его там не обнаружено).
      Прошу помощи в удалении возможных остатков этой заразы.
       
      FRST.txt Shortcut.txt Addition.txt
×
×
  • Создать...