Перейти к содержанию

вирус шифровальщиk, greenreed007@qq.com


Рекомендуемые сообщения

добрый вечер,

на днях почти все файлы приобрели шифровку, непонятный тип файлов и приписку гринрид007кк.ком,

из-за вируса не могу подключиться даже к интернету, пишу через древний ноутбук.

сам по себе в пк я полный чайник.

ниже прикрепляю два файла, послание вымогателя и сканирование frst.

2 файла.rar RESTORE_FILES_INFO.txt FRST.txt Addition.txt

Изменено пользователем dedicatedd
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

Кроме шифровальщика в системе ещё и майнер. Помощь в очистке нужна или планируете переустановку системы?

Ссылка на сообщение
Поделиться на другие сайты

Да, и того и другого.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

снова здравствуйте,

ниже все нужные файлы

после удаления вирусов - все зашифрованные файлы теряют место быть и могут быть удалены? 

так же хочется напомнить что интернет перестал работать после их получения, может ли быть такое что был задет файл отвечающий за это? ошибку выдаёт при подключении 711ю

AV_block_remove.log Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 32 PPAPI

Driver Booster 8

MediaGet

Кнопка "Яндекс" на панели задач

Элементы Яндекса 8.0 для Internet Explorer

 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\Run: [MediaGet2] => C:\Users\дамир\MediaGet2\mediaget.exe [10449104 2021-07-29] (Global Microtrading PTE. LTD -> MediaGet)
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {2edde6cf-e5cc-11ea-ba80-806e6f6e6963} - D:\autorun\shellg.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebc-20d6-11eb-82d0-00252288848b} - E:\setup.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebe-20d6-11eb-82d0-00252288848b} - F:\setup.EXE
    HKU\S-1-5-21-1557823784-893956675-1190482243-1001\...\MountPoints2: {1538ae0c-76f6-11eb-b6a1-00252288848b} - D:\HiSuiteDownLoader.exe
    ShortcutTarget: mystartup.lnk -> C:\Users\SAMP\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\john\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\SAMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\tavares\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\дамир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
    2021-08-22 18:45 - 2021-08-22 18:45 - 000001521 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.hta
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Windows\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\RESTORE_FILES_INFO.txt
    AlternateDataStreams: C:\ProgramData:NT2 [692]
    AlternateDataStreams: C:\Users\All Users:NT2 [692]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [692]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [692]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT [40]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT2 [692]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

вновь здравствуйте, извиняюсь за задержку

Fixlog.txtфикслог прикладываю снизу, нежелательные по удалил

Изменено пользователем dedicatedd
Ссылка на сообщение
Поделиться на другие сайты
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\)
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2020_13.39.01_log.txt

Ссылка на сообщение
Поделиться на другие сайты
25.08.2021 в 18:36, dedicatedd сказал:

все зашифрованные файлы теряют место быть и могут быть удалены?

Если там есть важные, а также есть возможность отложить "до лучших времен", можете куда-нибудь их скопировать.

Хоть и редко, но бывают случаи, когда появляется дешифровка.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Восстановление системы отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.46.3 (32-bit) v.5.46.3 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
NVIDIA GeForce Experience 2.0.1 v.2.0.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Smart Game Booster 5.2 v.5.2.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

UAC включите, постарайтесь установить "хотфиксы". Остальное тоже желательно проделать.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • EduardSidoruk
      От EduardSidoruk
      Добрый времени суток, у меня примерно год назад появился Trojan, по его обнаружению, переустановил ОС. Файлы с фотографиями были зашифрованы. Скорее всего шифрование произошло после запуска, какой-то программы, было давно, поэтому точно сказать не могу. На различных порталах выдало возможный Троян - WannaCash. Прошу оказать помощь в связи с этой проблемой. Все файлы прикрепляю к теме.
      Зашифрованные файлы.7z FRST.txt Addition.txt
    • СеергейД
      От СеергейД
      Добрый день. Взломали сервер 19.01.2022 и зашифровали все файли и бази 1С. 
      Зашифрованные файлы.rar FRST.txt Addition.txt
    • Ivan1996
      От Ivan1996
      прошу так же помощи по шифровальщику, только у меня даже о выкупе файла нет нигде...((
      card.csv.[ID-5465DF21].[hyperme@tuta.io].zip
       
       
      Сообщение от модератора kmscom Сообщение перенесено из темы https://forum.kasperskyclub.ru/topic/88531-shifrovalshhik-hypermetutaiohelpme/  
    • Kotyara884
      От Kotyara884
      Здравствуйте, уважаемый форумчане.
       
      Словили на сервер шифровальщик .[ID-1CF273F0].[hyperme@tuta.io].HELPME
       
      Шифрованный файл прилагаю и инфо к нему тоже, я так понимаю расшифровывать бесполезно?
      decrypt_info.txt bnk.zip
    • HorrorRain
      От HorrorRain
      Прилетел шифровальщик и зашифровал  важный файлы. Скорей всего из-за не сложного пароля администратора., есть ли шанс их восстановить
      Addition.txt Files.zip FRST.txt
×
×
  • Создать...