Перейти к содержанию

Рекомендуемые сообщения

добрый вечер,

на днях почти все файлы приобрели шифровку, непонятный тип файлов и приписку гринрид007кк.ком,

из-за вируса не могу подключиться даже к интернету, пишу через древний ноутбук.

сам по себе в пк я полный чайник.

ниже прикрепляю два файла, послание вымогателя и сканирование frst.

2 файла.rar RESTORE_FILES_INFO.txt FRST.txt Addition.txt

Изменено пользователем dedicatedd
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

Кроме шифровальщика в системе ещё и майнер. Помощь в очистке нужна или планируете переустановку системы?

Ссылка на сообщение
Поделиться на другие сайты

Да, и того и другого.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

снова здравствуйте,

ниже все нужные файлы

после удаления вирусов - все зашифрованные файлы теряют место быть и могут быть удалены? 

так же хочется напомнить что интернет перестал работать после их получения, может ли быть такое что был задет файл отвечающий за это? ошибку выдаёт при подключении 711ю

AV_block_remove.log Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 32 PPAPI

Driver Booster 8

MediaGet

Кнопка "Яндекс" на панели задач

Элементы Яндекса 8.0 для Internet Explorer

 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\Run: [MediaGet2] => C:\Users\дамир\MediaGet2\mediaget.exe [10449104 2021-07-29] (Global Microtrading PTE. LTD -> MediaGet)
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {2edde6cf-e5cc-11ea-ba80-806e6f6e6963} - D:\autorun\shellg.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebc-20d6-11eb-82d0-00252288848b} - E:\setup.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebe-20d6-11eb-82d0-00252288848b} - F:\setup.EXE
    HKU\S-1-5-21-1557823784-893956675-1190482243-1001\...\MountPoints2: {1538ae0c-76f6-11eb-b6a1-00252288848b} - D:\HiSuiteDownLoader.exe
    ShortcutTarget: mystartup.lnk -> C:\Users\SAMP\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\john\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\SAMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\tavares\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\дамир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
    2021-08-22 18:45 - 2021-08-22 18:45 - 000001521 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.hta
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Windows\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\RESTORE_FILES_INFO.txt
    AlternateDataStreams: C:\ProgramData:NT2 [692]
    AlternateDataStreams: C:\Users\All Users:NT2 [692]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [692]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [692]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT [40]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT2 [692]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

вновь здравствуйте, извиняюсь за задержку

Fixlog.txtфикслог прикладываю снизу, нежелательные по удалил

Изменено пользователем dedicatedd
Ссылка на сообщение
Поделиться на другие сайты
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\)
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2020_13.39.01_log.txt

Ссылка на сообщение
Поделиться на другие сайты
25.08.2021 в 18:36, dedicatedd сказал:

все зашифрованные файлы теряют место быть и могут быть удалены?

Если там есть важные, а также есть возможность отложить "до лучших времен", можете куда-нибудь их скопировать.

Хоть и редко, но бывают случаи, когда появляется дешифровка.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Восстановление системы отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.46.3 (32-bit) v.5.46.3 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
NVIDIA GeForce Experience 2.0.1 v.2.0.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Smart Game Booster 5.2 v.5.2.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

UAC включите, постарайтесь установить "хотфиксы". Остальное тоже желательно проделать.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От FarshikARC
      Словили вирус шифровальщик, как и почему пока не разобрались. по скринам поход на crylock. но подобрать программу для дешифровки не вышло, по этому предполагаю что он модифицирован. https://cloud.mail.ru/public/B6iu/vtpYdA7QJ - скриншот. Логи с Farbar Recovery Scan Tool в архиве, так же 2 зашифрованных файла. это файлы апачи 2.4 так что если нужны будут оригиналы могу приложить. Еще в архиве .exe который и объясняет как связаться с вымогателями. Вроде все. Пароль к архиву: virus
       
      123 (1).rar
    • От artastu
      Добрый день. На сервер попал шифровальщик. Все файлы теперь с расширением hydra.
      Сделала проверку с помощью Dr Web Live Disk. Были найдены вирусы (скрин вложил). Пролечил. При повторной проверке всё чисто.
      Прошу помощи в восстановлении. 

      CollectionLog-2021.08.31-12.53.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • От shon_kostja
      Добрый день. Та же проблема поймали шифровальщик. Прилагаю оригинальный файл и зашифрованный
      11.zip
    • От s.evgeny.a
      Добрый день! Помогите пожалуйста. На сервере поймали шифровальщик. Файлы прикрепляю
      Файлы.rar
    • От Павелk
      Добрый день!
      Есть возможность расшифровать файлы от этого шифровальщика [James2020m@aol.com].MUST?
×
×
  • Создать...