Перейти к содержанию

Рекомендуемые сообщения

На компьютере у сестры нет антивируса и в один момент все файлы закодированы *.gtys

Еще не запускали на сканирование/чистку от вирусов, виндовс тоже не трогали

arch.rar

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

Ссылка на сообщение
Поделиться на другие сайты
17 часов назад, Sandor сказал:

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

Будем лечить, я даже на вирусы не сканирую комп. может тело как то поискать?

Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, Sandor сказал:

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

 

курсова.rar

Ссылка на сообщение
Поделиться на другие сайты

К сожалению, не сработало. В вашем случае был использован online ключ и расшифровке не поддается.

Сейчас подготовлю скрипт для очистки системы.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    (services.exe ->) () [Файл не подписан] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    (services.exe ->) (SignPath Foundation -> Transmission Project) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\Transmission\transmission-daemon.exe
    HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent (Нет файла)
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [dasha] => explorer.exe hxxp://dinoraptzor.org (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [Driver] => C:\Users\dasha\AppData\Roaming\Sysfiles\8AF8.exe [5978624 2022-04-20] () [Файл не подписан] <==== ВНИМАНИЕ
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [SysHelper] => C:\Users\dasha\AppData\Local\e4b15be4-d25d-4a11-b477-e4e623c51f55\15DB.exe [861696 2022-04-19] () [Файл не подписан] <==== ВНИМАНИЕ
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [_BHXY08HL8] => C:\Program Files (x86)\Ippzx\qpayz9.exe [42176 2022-04-24] (Microsoft Corporation -> Microsoft Corporation)
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [FLRX2T28H] => C:\Program Files (x86)\Akvz4\regsvcp6t.exe [42176 2022-04-25] (Microsoft Corporation -> Microsoft Corporation)
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [_DKTEFDXCNYP] => C:\Program Files (x86)\Jdb24q8\wptlwbzpxlw.exe [42176 2022-04-27] (Microsoft Corporation -> Microsoft Corporation)
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: F - F:\Autorun.exe
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: G - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: {63f9c9d9-c8ad-11e8-845d-f0761c2f023c} - F:\Lenovo_Suite.exe
    HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: {cd972d12-ab4d-11eb-99be-f0761c2f023c} - F:\Autorun.exe
    InternetURL: C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Line\Driver.url -> URL: file:///C:\Users\dasha\AppData\Roaming\Sysfiles\8AF8.exe
    ShortcutTarget: Microsoft Edge.lnk -> C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.exe (<:8>:<C@HD9CGHID=I56) [Файл не подписан]
    Startup: C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Line\Line.exe [2022-04-22] (LINE Corporation) [Файл не подписан]
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {06D67BDB-217F-4ECD-BCD5-67D65AEE4443} - System32\Tasks\Time Trigger Task => C:\Users\dasha\AppData\Local\370eaac8-840c-4f53-93ef-12b3e205c327\15DB.exe [861696 2022-04-19] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {20ECF61C-B8C3-46C4-A4F2-02E9E384A30F} - \06C56C08-59BC-558A-E82B-6B23397CAD04 -> Нет файла <==== ВНИМАНИЕ
    Task: {360676BD-A5F2-44C0-9EEB-2251D25A86DE} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6979072 2020-09-17] () [Файл не подписан]
    Task: {3B9A7D43-D292-4D4C-8227-428131E71FBE} - System32\Tasks\NetShield Kit scheduled Autoupdate => C:\Program Files (x86)\NetShield Kit\cli.exe [193536 2020-09-17] (Sigma Software) [Файл не подписан]
    Task: {81E9090D-C5D0-4E65-9932-5BDDCFBD3F23} - \{9CB9CE11-0921-2D7D-59DF-198BF0591064} -> Нет файла <==== ВНИМАНИЕ
    Task: {8FCAD357-AC2C-4407-BD8C-895751D537A4} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1790184 2021-09-18] (Avast Software s.r.o. -> Avast Software)
    Task: {B45CB2F6-24FE-4168-83CF-737CA77A2A13} - System32\Tasks\ftewk.exe => C:\Users\dasha\AppData\Local\Temp\e014321378\ftewk.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {EE1669B2-FE80-4E2C-8684-7B7829BFB79D} - System32\Tasks\System\SystemCheck => C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Helper.exe -SystemCheck (Нет файла) <==== ВНИМАНИЕ
    C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\klkjgpmdjocaabfgddmnbahcaibjnene
    C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn
    CHR HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
    CHR HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [klkjgpmdjocaabfgddmnbahcaibjnene]
    CHR HKLM-x32\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn]
    R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6979072 2020-09-17] () [Файл не подписан]
    R2 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project) [Файл не подписан] [Файл уже используется]
    U3 a46spuuh; C:\Windows\System32\Drivers\a46spuuh.sys [0 0000-00-00] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
    S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
    S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
    2022-04-27 13:09 - 2022-04-27 13:09 - 000000000 ____D C:\Program Files (x86)\Jdb24q8
    2022-04-25 22:45 - 2022-04-25 22:53 - 000715264 _____ (<:8>:<C@HD9CGHID=I56) C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.exe
    2022-04-24 22:33 - 2022-04-24 22:33 - 000000000 ____D C:\Program Files (x86)\Ippzx
    2022-04-13 17:38 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\wnn.Db..tmp
    2022-04-13 17:38 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\BJpfj.x.tmp
    2022-04-12 22:09 - 2022-04-12 22:09 - 009223152 _____ C:\Users\dasha\AppData\Roaming\nojIvtgj..exe
    2022-04-12 22:09 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\mB.qHAI.tmp
    2022-04-12 22:09 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\tnhmEob.tmp
    2022-04-12 22:06 - 2022-04-12 22:06 - 009223152 _____ C:\Users\dasha\AppData\Roaming\anEqGla.u.exe
    2022-04-12 22:06 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\HozrFqv.tmp
    2022-04-12 22:06 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\Dggbbkw.tmp
    2022-04-12 21:58 - 2022-04-16 22:25 - 000000000 ____D C:\Users\dasha\AppData\Local\0667146e
    2022-04-12 21:58 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\vrt.D.i.tmp
    2022-04-12 21:58 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\aAyrwGh.tmp
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{0db1f7db-6548-4238-9139-32145c004df1}) (Version: 1.3.30.0 - Sigma Software) Hidden
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    AlternateDataStreams: C:\Users\dasha\Local Settings:12-04-2022 [1039]
    AlternateDataStreams: C:\Users\dasha\Local Settings:13-04-2022 [23442]
    AlternateDataStreams: C:\Users\dasha\Local Settings:14-04-2022 [18103]
    AlternateDataStreams: C:\Users\dasha\Local Settings:15-04-2022 [111]
    AlternateDataStreams: C:\Users\dasha\Local Settings:16-04-2022 [74767]
    AlternateDataStreams: C:\Users\dasha\Local Settings:17-04-2022 [26388]
    AlternateDataStreams: C:\Users\dasha\Local Settings:18-04-2022 [10771]
    AlternateDataStreams: C:\Users\dasha\Local Settings:19-04-2022 [6134]
    AlternateDataStreams: C:\Users\dasha\Local Settings:20-04-2022 [516]
    AlternateDataStreams: C:\Users\dasha\Local Settings:21-04-2022 [15777]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:12-04-2022 [1039]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:13-04-2022 [23442]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:14-04-2022 [18103]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:15-04-2022 [111]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:16-04-2022 [74767]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:17-04-2022 [26388]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:18-04-2022 [10771]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:19-04-2022 [6134]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:20-04-2022 [516]
    AlternateDataStreams: C:\Users\dasha\AppData\Local:21-04-2022 [15777]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:12-04-2022 [1039]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:13-04-2022 [23442]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:14-04-2022 [18103]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:15-04-2022 [111]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:16-04-2022 [74767]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:17-04-2022 [26388]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:18-04-2022 [10771]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:19-04-2022 [6134]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:20-04-2022 [516]
    AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:21-04-2022 [15777]
    IE trusted site: HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\webcompanion.com -> hxxp://webcompanion.com
    FirewallRules: [{74525537-8ECC-4159-BA06-B5A481E10ABA}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
    FirewallRules: [{5CE57896-83EB-4779-ADD2-3E51AEB90F8E}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата

 

Bonjour

NetShield Kit 1.3.30.0

 

 

Ссылка на сообщение
Поделиться на другие сайты

Увы, суть не в размере файлов, а в использовании злоумышленниками не локального ключа, а удаленного.

 

Скрипт выполняйте, в системе активен майнер.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

Увы, суть не в размере файлов, а в использовании злоумышленниками не локального ключа, а удаленного.

 

Скрипт выполняйте, в системе активен майнер.

ну есливсе данные утеряны, я тогда просто форматну винт, и поставлю чистую винду((

спасибо

Ссылка на сообщение
Поделиться на другие сайты

Тоже вариант.

Если есть возможность, сохраните зашифрованные файлы вместе с запиской о выкупе куда-нибудь на внешний носитель и отложите.

Не исключено, что через некоторое время расшифровка появится.

Ссылка на сообщение
Поделиться на другие сайты
5 минут назад, Sandor сказал:

Тоже вариант.

Если есть возможность, сохраните зашифрованные файлы вместе с запиской о выкупе куда-нибудь на внешний носитель и отложите.

Не исключено, что через некоторое время расшифровка появится.

спасибо, вот фикслог, вроде чисто уже

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Если решили продолжать очистку, дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Не нужно полностью цитировать предыдущее сообщение. Отвечайте в форме быстрого ответа внизу темы.

Ссылка на сообщение
Поделиться на другие сайты

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Paulo César
      От Paulo César
      Boa tarde...
       
      Estou passando por essa praga que é o ransomware, preciso de ajuda caso alguém o possa fazer. 
      Passei o arquivo pelo site id-ransomware.malwarehunterteam.com e a mensagem que o STOP (Djavu). Alguém conhece?... Tem uma ferramenta para indicar?
    • Alex81524
      От Alex81524
      Вирус зашифровал файлы и дрбавил расширение ahtw. Что делать?
    • Виктор1
      От Виктор1
      Здравствуйте! В прошлом году,я попался на Trojan.Encoder.26996,когда попытался использовать сторонний софт для скачивания видео из ютуба.Удалить заразу из компа мне удалось,но файлы расшифровать-нет.Прошу Вашей помощи. Да, забыл-тогда стояла Win7,после этого переустановил на Win10.
      Не могу прикрепить к своему сообщению образцы зашифрованных файлов и  логи анализа системы-не отображается кнопка для прикрепления файлов.Спасибо.
    • ssergey0707
      От ssergey0707
      вирус зашифровал все файли
      06 Вступ.doc.zip
    • Sthayssy Prado
      От Sthayssy Prado
      Buenos días en Perú, el presente mensaje es para pedir ayuda en desencriptar varios archivos de mi computadora, usb y disco duro externo, entre los cuales se encuentran archivos en extención: 
      .docx
      .rar
      .pdf
      .exe
      .mp3
      .mp4
      .iso
      .url
      .jpg
      .xls 
      .bak
      .sql
      .jar
      .txt
      .abs
      .webm
      .mkv
      etc, etc.
       
      Casi el 90% de mis archivos han sido cifrados con la extensión: .wnlu y la verdad me esta perjudicando en mi trabajo, muchos son archivos de mis compañeros. Pediría que me ayuden a encontrar una solución para poder abrir mis archivos con normalidad.
       
      Gracias por anticipado...
       
       
       
×
×
  • Создать...