Перейти к содержанию

вирус шифровальщиk, greenreed007@qq.com


Рекомендуемые сообщения

добрый вечер,

на днях почти все файлы приобрели шифровку, непонятный тип файлов и приписку гринрид007кк.ком,

из-за вируса не могу подключиться даже к интернету, пишу через древний ноутбук.

сам по себе в пк я полный чайник.

ниже прикрепляю два файла, послание вымогателя и сканирование frst.

2 файла.rar RESTORE_FILES_INFO.txt FRST.txt Addition.txt

Изменено пользователем dedicatedd
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

Кроме шифровальщика в системе ещё и майнер. Помощь в очистке нужна или планируете переустановку системы?

Ссылка на комментарий
Поделиться на другие сайты

Да, и того и другого.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt

Ссылка на комментарий
Поделиться на другие сайты

снова здравствуйте,

ниже все нужные файлы

после удаления вирусов - все зашифрованные файлы теряют место быть и могут быть удалены? 

так же хочется напомнить что интернет перестал работать после их получения, может ли быть такое что был задет файл отвечающий за это? ошибку выдаёт при подключении 711ю

AV_block_remove.log Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 32 PPAPI

Driver Booster 8

MediaGet

Кнопка "Яндекс" на панели задач

Элементы Яндекса 8.0 для Internet Explorer

 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\Run: [MediaGet2] => C:\Users\дамир\MediaGet2\mediaget.exe [10449104 2021-07-29] (Global Microtrading PTE. LTD -> MediaGet)
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {2edde6cf-e5cc-11ea-ba80-806e6f6e6963} - D:\autorun\shellg.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebc-20d6-11eb-82d0-00252288848b} - E:\setup.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebe-20d6-11eb-82d0-00252288848b} - F:\setup.EXE
    HKU\S-1-5-21-1557823784-893956675-1190482243-1001\...\MountPoints2: {1538ae0c-76f6-11eb-b6a1-00252288848b} - D:\HiSuiteDownLoader.exe
    ShortcutTarget: mystartup.lnk -> C:\Users\SAMP\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\john\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\SAMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\tavares\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\дамир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
    2021-08-22 18:45 - 2021-08-22 18:45 - 000001521 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.hta
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Windows\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\RESTORE_FILES_INFO.txt
    AlternateDataStreams: C:\ProgramData:NT2 [692]
    AlternateDataStreams: C:\Users\All Users:NT2 [692]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [692]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [692]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT [40]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT2 [692]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

вновь здравствуйте, извиняюсь за задержку

Fixlog.txtфикслог прикладываю снизу, нежелательные по удалил

Изменено пользователем dedicatedd
Ссылка на комментарий
Поделиться на другие сайты

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\)
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2020_13.39.01_log.txt

Ссылка на комментарий
Поделиться на другие сайты

25.08.2021 в 18:36, dedicatedd сказал:

все зашифрованные файлы теряют место быть и могут быть удалены?

Если там есть важные, а также есть возможность отложить "до лучших времен", можете куда-нибудь их скопировать.

Хоть и редко, но бывают случаи, когда появляется дешифровка.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Восстановление системы отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.46.3 (32-bit) v.5.46.3 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
NVIDIA GeForce Experience 2.0.1 v.2.0.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Smart Game Booster 5.2 v.5.2.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

UAC включите, постарайтесь установить "хотфиксы". Остальное тоже желательно проделать.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • Mr. Denp
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
    • slimy371
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
×
×
  • Создать...