Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте случилось что-то не понятное, каким-то судом к моему пк подключились и соотвественно зашифровали все диски и файлы. Нужна ваша помощь.
Имена файлов выглядят вот так теперь ".lnk.secure[willettamoffat@yahoo.com]"
Ниже результаты скана

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
    HKU\S-1-5-21-4052126061-1111410012-2080524701-1001\...\MountPoints2: {62e7df1b-b871-11eb-921b-c86000e3d82a} - "F:\setup.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\RDP Wrapper
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Kaspersky Lab
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\ESET
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Common Files\McAfee
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\Cezurity
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\AVG
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files\AVAST Software
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Panda Security
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\AVG
    2021-04-24 02:37 - 2021-04-24 02:37 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\SpyHunter
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\Malwarebytes
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\COMODO
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files\ByteFence
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 __SHD C:\Program Files (x86)\360
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 ____D C:\Windows\speechstracing
    2021-04-24 02:36 - 2021-04-24 02:36 - 000000000 ____D C:\ProgramData\System32
    cmd: net user john /delete 

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Smirnov85
      шифровальщик зашифровал файлы, в именах зашифрованных файлов присутствует secure[dealinfrm@cock.li]. Стандартные дешифровальщики от лаборатории Касперского не помогли (RakhniDecryptor, ShadeDecryptor, RannohDecryptor). Лог согласно инструкции прилагаю
      CollectionLog-2021.05.18-15.33.zip
    • От Павел1777
      Здравствуйте. У меня все файлы на компьютере зашифровал вирус с расширением secure[milleni5000@qq. Подскажите пожалуйста, у Вас вроде получилось справиться с этой проблемой?
    • От IlyaP
      Здравствуйте, к нам проник шифровальщик .secure, возможно осталось тело вируса, по крайне мере злоумышленник оставил или забыл свой файл на одной машине, подскажите можно ли как то расшифровать? И куда прислать файл что злоумышленник оставил ? Название файла Dlya_Seti_Secure.exe 
      files.zip FRST.txt Addition.txt
    • От Qwaide
      Первый симптом был при подключении через RDP (компьютер доступен в интернете по белому адресу), произошло отключение будто кто-то подключился к удаленному ПК, при попытке подключится повторно отправилось предупреждение что я не могу подключится к ПК, т.к. другой (неизвестный мне Phil) пользователь подключен у компьютеру (справочно - windows 10 pro, насколько помню только один пользователь может подключен одновременно к ПК). Спустя пару минут все же смог подключится. 
      Позднее обнаружил что действительно появился пользователь Phil (в папке C:\Users ). 
       
      После перезагрузки ПК не было блокировки экрана, но:
      Windows defender перестал работать - "Параметрами защиты от вирусов и угроз управляет ваша организация." 
      Точки восстановления были удалены.
      Файлы зашифрованы (к файлам добавлено ".secure[gowrite@airmail.cc]"
      Появился текстовик - RESTORE_FILES_INFO
       
      Cure.It при проверке нашел один зараженный файл, Virus Removal Tool в данный момент проводит проверку. 
      Пробовал некоторые дешифровщики в том числе Касперского, не помогли решить проблему.
    • От PhaetonX
      Добрый вечер! Сегодня днем сотрудница офиса обратилась с проблемой о том, что файлы pdf перестали открываться. Подключившись по rdp выяснил, что нарушено сопоставление файлов с adobe reader и в памяти "висит" несколько запущенных процессов. Сопоставление вручную решило проблему. Попутно заметил, что установленное антивирусное решение стороннего производителя не активно поскольку закончился пробный период. Переустановил его на бесплатную версию kaspersky security cloud и запустил проверку. Четырьмя часами позже вновь подключился по удаленному рабочему столу и был шокирован увиденным. Абсолютно все файлы зашифрованы. Система Windows 7, обновлений по понятным причинам нет. Так же доподлинно не известно есть ли резервные копии всего этого.... Очень надеемся на Вашу помощь, спасибо!
      Зашифрованные файлы.zip
      Addition.txt FRST.txt
×
×
  • Создать...