Перейти к содержанию

вирус шифровальщиk, greenreed007@qq.com


Рекомендуемые сообщения

добрый вечер,

на днях почти все файлы приобрели шифровку, непонятный тип файлов и приписку гринрид007кк.ком,

из-за вируса не могу подключиться даже к интернету, пишу через древний ноутбук.

сам по себе в пк я полный чайник.

ниже прикрепляю два файла, послание вымогателя и сканирование frst.

2 файла.rar RESTORE_FILES_INFO.txt FRST.txt Addition.txt

Изменено пользователем dedicatedd
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

Кроме шифровальщика в системе ещё и майнер. Помощь в очистке нужна или планируете переустановку системы?

Ссылка на сообщение
Поделиться на другие сайты

Да, и того и другого.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

снова здравствуйте,

ниже все нужные файлы

после удаления вирусов - все зашифрованные файлы теряют место быть и могут быть удалены? 

так же хочется напомнить что интернет перестал работать после их получения, может ли быть такое что был задет файл отвечающий за это? ошибку выдаёт при подключении 711ю

AV_block_remove.log Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 32 PPAPI

Driver Booster 8

MediaGet

Кнопка "Яндекс" на панели задач

Элементы Яндекса 8.0 для Internet Explorer

 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\Run: [MediaGet2] => C:\Users\дамир\MediaGet2\mediaget.exe [10449104 2021-07-29] (Global Microtrading PTE. LTD -> MediaGet)
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {2edde6cf-e5cc-11ea-ba80-806e6f6e6963} - D:\autorun\shellg.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebc-20d6-11eb-82d0-00252288848b} - E:\setup.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebe-20d6-11eb-82d0-00252288848b} - F:\setup.EXE
    HKU\S-1-5-21-1557823784-893956675-1190482243-1001\...\MountPoints2: {1538ae0c-76f6-11eb-b6a1-00252288848b} - D:\HiSuiteDownLoader.exe
    ShortcutTarget: mystartup.lnk -> C:\Users\SAMP\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\john\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\SAMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\tavares\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\дамир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
    2021-08-22 18:45 - 2021-08-22 18:45 - 000001521 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.hta
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Windows\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\RESTORE_FILES_INFO.txt
    AlternateDataStreams: C:\ProgramData:NT2 [692]
    AlternateDataStreams: C:\Users\All Users:NT2 [692]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [692]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [692]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT [40]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT2 [692]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

вновь здравствуйте, извиняюсь за задержку

Fixlog.txtфикслог прикладываю снизу, нежелательные по удалил

Изменено пользователем dedicatedd
Ссылка на сообщение
Поделиться на другие сайты
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\)
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2020_13.39.01_log.txt

Ссылка на сообщение
Поделиться на другие сайты
25.08.2021 в 18:36, dedicatedd сказал:

все зашифрованные файлы теряют место быть и могут быть удалены?

Если там есть важные, а также есть возможность отложить "до лучших времен", можете куда-нибудь их скопировать.

Хоть и редко, но бывают случаи, когда появляется дешифровка.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Восстановление системы отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.46.3 (32-bit) v.5.46.3 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
NVIDIA GeForce Experience 2.0.1 v.2.0.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Smart Game Booster 5.2 v.5.2.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

UAC включите, постарайтесь установить "хотфиксы". Остальное тоже желательно проделать.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ботя
      От Ботя
      Здравствуйте, уважаемые мастера инфобеза. 22 сентября 2022 года сработал вирус вымогатель шифровальщик. Пожалуйста, помогите расшифровать данные. 
      Во вложении файлы FRST, в архивах сами зашифрованные данные и в архиве ryuk файлы от вымогателей. 
      При выявлении что было сделано: Установлен антивирус, быстро на скорую руку, который удалил сам вирус. Но последствия остались. больше никаких изменений не делалось. Заражено 1 компьютер и 1 ноутбук. На ноутбуке не загружалась ОС, пришлось поставить диск и на него установить ОС. старый диск также проверен на вирусы, и увы вирус удалён. В остальном всё осталось без изменений. Прошу Вас помочь. Вы последняя ндежда.
      Addition.txt FRST.txt Shortcut.txt RYUK.rar encrypted files.rar
    • Andrey1976
      От Andrey1976
      Доброе время суток.
      Зашифровал файлы в сетевой папке NAS!!!!
       
      Может можно что то сделать?.  Заранее спасибо за помощь!
      Зашифрованные файлы.rar
    • Nomin
      От Nomin
      Здравствуйте.
      пользователь с админским доступом к серверу подхватил шифровальщика который очень старательно всё зашифровал.
      прикладываю рекомендуемые файлы. все из одной папки.
      прогнал антивирусами, но что-то еще осталось, буду новый сервер ставить.
      подскажите, к этому шифровальщику есть подход?
      Спасибо!
      1.rar Addition.txt FRST.txt
    • Дмитрий93
      От Дмитрий93
      Добрый день, зашифровали файлы. Есть ли возможность расшифровки?
      Письмо во вложении. Globeimposter-Alpha666qqz расширение файла стало такое.
      HOW TO BACK YOUR FILES.txt
    • Alexanderr
      От Alexanderr
      Не так давно поймали этот шифровальщик. Прошу выслать инструкцию по дешифровке. Заранее благодарен.
×
×
  • Создать...