Перейти к содержанию

Вирус зашифровал мои данные

JrDoge2403
 Поделиться

Рекомендуемые сообщения

JrDoge2403

JrDoge2403

Опубликовано
Опубликовано (изменено)

Добрый день, сегодня большинство файлов на моём компьютере были зашифрованы тип файла указан secure[yourdataonline@aliyum.com] , какой файл являлся вирусом к сожалению определить не смог. Приблизительно в 8 часов утра была проведена шифровка, при входе в УЗ было указано что некий John сейчас находится в системе, почитал на вашем форуме большинство людей сталкивались с этим или похожим вирусом. На данный момент была использована точка восстановления и после этих действий УЗ John в системе отсутствует. Есть ли возможность восстановить данные файлов. Прикрепляю логи и файл с требованиями. По ошибке указал неверный раздел, если есть возможность перенаправьте тему в нужный раздел

Addition.txt FRST.txt RESTORE_FILES_INFO.txt

Изменено пользователем JrDoge2403
Выбран ошибочный раздел
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CreateRestorePoint:
CloseProcesses:
virustotal: C:\Users\Kosty\Desktop\puush.exe
virustotal: C:\Users\Kosty\Desktop\EmptyStandbyList.exe
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/","hxxp://go.mail.ru/?homepage=1","hxxp://yamdex.net/?zm","hxxp://www.yandex.ru","hxxp://www.yoursearching.com/?type=hp&ts=1452094548&z=1dfd5c4f09aee3ef3a91fc2g7z3w9obe7tczew1z3b&from=itr&uid=st1000dl002-9tt153_w1v0td2jxxxxw1v0td2j","hxxp://mypoisk.su/"
2021-04-05 23:38 - 2021-04-08 16:38 - 000000000 __SHD C:\ProgramData\Windows
2021-04-05 23:38 - 2021-04-08 16:38 - 000000000 __SHD C:\ProgramData\install
2021-04-05 23:38 - 2021-04-08 14:59 - 000000000 __SHD C:\ProgramData\WindowsTask
2021-04-05 23:38 - 2021-04-05 23:39 - 000000000 __SHD C:\ProgramData\Setup
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\RunDLL
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\Norton
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\McAfee
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\grizzly
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\ESET
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\Doctor Web
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\ProgramData\360safe
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\SpyHunter
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\Malwarebytes
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\ESET
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\Enigma Software Group
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\COMODO
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\Cezurity
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\ByteFence
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\AVG
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files\AVAST Software
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\AVG
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\Program Files (x86)\360
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\KVRT_Data
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 __SHD C:\AdwCleaner
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 ____D C:\WINDOWS\speechstracing
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 ____D C:\ProgramData\System32
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 ____D C:\ProgramData\MB3Install
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 ____D C:\ProgramData\Malwarebytes
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 ____D C:\ProgramData\Indus
2021-04-05 23:38 - 2021-04-05 23:38 - 000000000 ____D C:\ProgramData\Avira
2020-01-27 12:57 - 2020-01-27 12:58 - 051655520 _____ (Sony) C:\Users\Kosty\AppData\Local\pcc.exe

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
mike 1

mike 1

Опубликовано
Опубликовано
Цитата

C:\ProgramData\Windows

Удалите вручную скрытую папку. Сделайте новые логи frst.txt, addition.txt 

JrDoge2403

JrDoge2403

Опубликовано
  • Автор
Опубликовано (изменено)

Как удалить её она не отображается? Также забыл указать, что скрытые элементы отображаются.

Всё проблему решил, необходимые логи загружаю.

Addition.txt FRST.txt

Изменено пользователем JrDoge2403
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

Проверьте эти файлы на https://www.virustotal.com/gui/

  

C:\Users\Kosty\Desktop\EmptyStandbyList.exe
C:\Users\Kosty\Desktop\puush.exe


кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

Изменено пользователем mike 1
JrDoge2403

JrDoge2403

Опубликовано
  • Автор
Опубликовано

Эти файлы уже более года в системе находятся и безвредные, но в любом случае я сделал.

 

https://www.virustotal.com/gui/file/6d2b18f8a8ba787d3fa4c6e36ed6c7af66b10083ce555a21ec24b2ada3821cbe/detection

https://www.virustotal.com/gui/file/edf4942e9a27478241cb33ecc8f75239ad0e294d1cd2202db9f707bd6873b2fc/detection

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Шиловский
      Шифровальщик; *.putin; Conti(Meow)?
      Автор Шиловский
      Добрый день.
       
      Система загружается. Файлы зашифрованы. Шифровальщик не детектируется. Во вложении логи FRST(FRST_logs.zip) и два семпла с запиской(Samples.zip).
       
      Помогите, пожалуйста.
      FRST_logs.zip Samples.zip
    • Study
      Шифровальщик M0rphine
      Автор Study
      Здравствуйте! Обращаюсь по не совсем рекомендуемой форме. Войти в систему под админом не удалось - изменена учетка администратора домена. Подключили диск к другой системе. 
      На сервере 2003 оказались зашифрованы файлы. Предположительно, было проникновение по RDP и шифровальщик запущен вручную.
      В корне C: обнаружен файл mor.exe, расширения зашифрованных файлов - .M0rphine.
      В прикрепленных файлах скрины сообщения, образец зашифрованного файла и файл HTML приложения(переименован), которое запускает сообщение (в архиве).
      Пока никакой информации по этому шифровальщику в инете не нашел.
      Надеюсь на вашу помощь. Спасибо.


      files.zip
    • chirkov@szte.ru
      Поймали шифровальщика
      Автор chirkov@szte.ru
      Добрый день.
       
      Поймали вирус-шифровальщик, зашифровал все файлы, кроме системных.
      Возможно отработал от имени какой-то доменной учетки.
      Файл с логами во вложении.
      CollectionLog-2020.03.24-16.17.zip
    • Andrew.4.4
      Помощь в расшифровке файлов
      Автор Andrew.4.4
      У организации, которой я помогаю время от времени на сервер проникли злоумышленники и зашифровали файлы. Необходимости в очистке системы нет, так как зараженная ОС была снесена. ID Ransomware определил, как семейство Globe, но брут ключа по паре файлов решениями от Emsisoft не принёс результата. Пару зашифрованный-оригинал прикрепляю. Записки от вымогателей также не осталось. Буду благодарен за любую помощь.
      andrew.4.4.zip
    • Edison77
      зашифрованные фото
      Автор Edison77
      суть проблемы в следующем,дочка занесла вирус на комп,а он был связон с облаком на котором хранились все фотки и видео.вообщем комп почистили и винду переустановили,но как восстановить фотки с облака?Программы дешифровальщики не помогли! Но повезло- есть зашифрованное фото и его начальное !!!! прилагаю 2 файла и жду каких либо советов,извините если не тут обращаюсь,просто хочется верить в наших програмистов!   Ошибка Вы не можете загружать файлы подобного типа    Ребята а закодированный файл не грузится?????как быть

×
×
  • Создать...