Перейти к содержанию

вирус шифровальщиk, greenreed007@qq.com


Рекомендуемые сообщения

добрый вечер,

на днях почти все файлы приобрели шифровку, непонятный тип файлов и приписку гринрид007кк.ком,

из-за вируса не могу подключиться даже к интернету, пишу через древний ноутбук.

сам по себе в пк я полный чайник.

ниже прикрепляю два файла, послание вымогателя и сканирование frst.

2 файла.rar RESTORE_FILES_INFO.txt FRST.txt Addition.txt

Изменено пользователем dedicatedd
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

К сожалению, расшифровки этой версии нет.

Кроме шифровальщика в системе ещё и майнер. Помощь в очистке нужна или планируете переустановку системы?

Ссылка на сообщение
Поделиться на другие сайты

Да, и того и другого.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

снова здравствуйте,

ниже все нужные файлы

после удаления вирусов - все зашифрованные файлы теряют место быть и могут быть удалены? 

так же хочется напомнить что интернет перестал работать после их получения, может ли быть такое что был задет файл отвечающий за это? ошибку выдаёт при подключении 711ю

AV_block_remove.log Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 32 PPAPI

Driver Booster 8

MediaGet

Кнопка "Яндекс" на панели задач

Элементы Яндекса 8.0 для Internet Explorer

 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\Run: [MediaGet2] => C:\Users\дамир\MediaGet2\mediaget.exe [10449104 2021-07-29] (Global Microtrading PTE. LTD -> MediaGet)
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {2edde6cf-e5cc-11ea-ba80-806e6f6e6963} - D:\autorun\shellg.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebc-20d6-11eb-82d0-00252288848b} - E:\setup.exe
    HKU\S-1-5-21-1557823784-893956675-1190482243-1000\...\MountPoints2: {e6ca2ebe-20d6-11eb-82d0-00252288848b} - F:\setup.EXE
    HKU\S-1-5-21-1557823784-893956675-1190482243-1001\...\MountPoints2: {1538ae0c-76f6-11eb-b6a1-00252288848b} - D:\HiSuiteDownLoader.exe
    ShortcutTarget: mystartup.lnk -> C:\Users\SAMP\AppData\Local\Temp\RESTORE_FILES_INFO.txt (Нет файла)
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\john\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\SAMP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\tavares\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\дамир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    IPSecPolicy: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3eb4095d-fb46-495d-a1b5-c1e8c58a7ee5} <==== ВНИМАНИЕ (Ограничение - IP)
    HKLM\SYSTEM\CurrentControlSet\Services\dump_luafv <==== ВНИМАНИЕ (Rootkit!)
    2021-08-22 18:45 - 2021-08-22 18:45 - 000001521 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.hta
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Windows\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\Users\john\Desktop\RESTORE_FILES_INFO.txt
    2021-08-22 18:45 - 2021-08-22 18:45 - 000000913 _____ C:\RESTORE_FILES_INFO.txt
    AlternateDataStreams: C:\ProgramData:NT2 [692]
    AlternateDataStreams: C:\Users\All Users:NT2 [692]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [692]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [692]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT [40]
    AlternateDataStreams: C:\Users\дамир\Application Data:NT2 [692]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\дамир\AppData\Roaming:NT2 [692]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

вновь здравствуйте, извиняюсь за задержку

Fixlog.txtфикслог прикладываю снизу, нежелательные по удалил

Изменено пользователем dedicatedd
Ссылка на сообщение
Поделиться на другие сайты
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\)
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2020_13.39.01_log.txt

Ссылка на сообщение
Поделиться на другие сайты
25.08.2021 в 18:36, dedicatedd сказал:

все зашифрованные файлы теряют место быть и могут быть удалены?

Если там есть важные, а также есть возможность отложить "до лучших времен", можете куда-нибудь их скопировать.

Хоть и редко, но бывают случаи, когда появляется дешифровка.

 

Проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Восстановление системы отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.46.3 (32-bit) v.5.46.3 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
NVIDIA GeForce Experience 2.0.1 v.2.0.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Smart Game Booster 5.2 v.5.2.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

UAC включите, постарайтесь установить "хотфиксы". Остальное тоже желательно проделать.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Юрий Ч
    • Saul
      От Saul
      Добрый день!
      Вот такое поймали, зашифрованы все файлы на сетевой шаре.
      Есть способы для расшифровки?
       
      Все ваши файлы были зашифрованы!
          Все ваши файлы были зашифрованы из -за проблемы безопасности с вашим ПК.
          Если вы хотите их восстановить
          Установите программу для общения https://tox.chat/clients.html
      https://github.com/uTox/uTox/releases/
      https://github.com/uTox/uTox/releases/download/v0.18.1/utox_x86_64.exe
      и добавьте нас
       
      2C6D0C2F49F19EAE34A558AC646E5C75230928DA64B46DBD6087B036ED651146575435EFEFFC
      ВНИМАНИЕ!
          !!!Не трогайте зашифрованные файлы.!!!
          !!!Не пытайтесь расшифровать ваши данные, используя стороннее программное обеспечение, это может вызвать потерю данных.!!!
      1.zip
    • Мимохожий
      От Мимохожий
      Поймали Trojan.Encoder.31074 (Lockbit 3).
      Просим помощи в расшифровке
      Файл вируса в архиве имеется.
      Убиты все сервера компании.
       
      Mimo.rar
    • SS78RUS
      От SS78RUS
      Добрый вечер. 
      С нами случилась ситуация 1в1 с вышеописанной. NAS Zyxel 326 со всеми патчами, отключены все выходы во внешнюю сеть, работал только как локальное хранилище, всё равно атаковали через уязвимость самого NAS -создали облачного пользователя, которого даже удалить не могу.
      Подскажите, какой вариант с починкой файлов? Заранее спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Din
      От Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...