stop (djvu) расшифровать *.gtys

[dariya]

На компьютере у сестры нет антивируса и в один момент все файлы закодированы *.gtys

Еще не запускали на сканирование/чистку от вирусов, виндовс тоже не трогали

arch.rar

FRST.txt Addition.txt

[dariya]

supportsys@airmail.cc

support@sysmail.ch

[Sandor]

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

[dariya]

17 часов назад, Sandor сказал:

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

Будем лечить, я даже на вирусы не сканирую комп. может тело как то поискать?

[Sandor]

Тело не поможет. Пара файлов, если повезёт - поможет.

[dariya]

18 часов назад, Sandor сказал:

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

 

курсова.rar

[Sandor]

К сожалению, не сработало. В вашем случае был использован online ключ и расшифровке не поддается.

Сейчас подготовлю скрипт для очистки системы.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  (services.exe ->) () [Файл не подписан] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
  (services.exe ->) (SignPath Foundation -> Transmission Project) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\Transmission\transmission-daemon.exe
  HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent (Нет файла)
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [dasha] => explorer.exe hxxp://dinoraptzor.org (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [Driver] => C:\Users\dasha\AppData\Roaming\Sysfiles\8AF8.exe [5978624 2022-04-20] () [Файл не подписан] <==== ВНИМАНИЕ
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [SysHelper] => C:\Users\dasha\AppData\Local\e4b15be4-d25d-4a11-b477-e4e623c51f55\15DB.exe [861696 2022-04-19] () [Файл не подписан] <==== ВНИМАНИЕ
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [_BHXY08HL8] => C:\Program Files (x86)\Ippzx\qpayz9.exe [42176 2022-04-24] (Microsoft Corporation -> Microsoft Corporation)
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [FLRX2T28H] => C:\Program Files (x86)\Akvz4\regsvcp6t.exe [42176 2022-04-25] (Microsoft Corporation -> Microsoft Corporation)
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [_DKTEFDXCNYP] => C:\Program Files (x86)\Jdb24q8\wptlwbzpxlw.exe [42176 2022-04-27] (Microsoft Corporation -> Microsoft Corporation)
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: F - F:\Autorun.exe
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: G - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: {63f9c9d9-c8ad-11e8-845d-f0761c2f023c} - F:\Lenovo_Suite.exe
  HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: {cd972d12-ab4d-11eb-99be-f0761c2f023c} - F:\Autorun.exe
  InternetURL: C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Line\Driver.url -> URL: file:///C:\Users\dasha\AppData\Roaming\Sysfiles\8AF8.exe
  ShortcutTarget: Microsoft Edge.lnk -> C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.exe (<:8>:<C@HD9CGHID=I56) [Файл не подписан]
  Startup: C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Line\Line.exe [2022-04-22] (LINE Corporation) [Файл не подписан]
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {06D67BDB-217F-4ECD-BCD5-67D65AEE4443} - System32\Tasks\Time Trigger Task => C:\Users\dasha\AppData\Local\370eaac8-840c-4f53-93ef-12b3e205c327\15DB.exe [861696 2022-04-19] () [Файл не подписан] <==== ВНИМАНИЕ
  Task: {20ECF61C-B8C3-46C4-A4F2-02E9E384A30F} - \06C56C08-59BC-558A-E82B-6B23397CAD04 -> Нет файла <==== ВНИМАНИЕ
  Task: {360676BD-A5F2-44C0-9EEB-2251D25A86DE} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6979072 2020-09-17] () [Файл не подписан]
  Task: {3B9A7D43-D292-4D4C-8227-428131E71FBE} - System32\Tasks\NetShield Kit scheduled Autoupdate => C:\Program Files (x86)\NetShield Kit\cli.exe [193536 2020-09-17] (Sigma Software) [Файл не подписан]
  Task: {81E9090D-C5D0-4E65-9932-5BDDCFBD3F23} - \{9CB9CE11-0921-2D7D-59DF-198BF0591064} -> Нет файла <==== ВНИМАНИЕ
  Task: {8FCAD357-AC2C-4407-BD8C-895751D537A4} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1790184 2021-09-18] (Avast Software s.r.o. -> Avast Software)
  Task: {B45CB2F6-24FE-4168-83CF-737CA77A2A13} - System32\Tasks\ftewk.exe => C:\Users\dasha\AppData\Local\Temp\e014321378\ftewk.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {EE1669B2-FE80-4E2C-8684-7B7829BFB79D} - System32\Tasks\System\SystemCheck => C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Helper.exe -SystemCheck (Нет файла) <==== ВНИМАНИЕ
  C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\klkjgpmdjocaabfgddmnbahcaibjnene
  C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn
  CHR HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [klkjgpmdjocaabfgddmnbahcaibjnene]
  CHR HKLM-x32\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn]
  R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6979072 2020-09-17] () [Файл не подписан]
  R2 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project) [Файл не подписан] [Файл уже используется]
  U3 a46spuuh; C:\Windows\System32\Drivers\a46spuuh.sys [0 0000-00-00] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
  S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
  S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
  2022-04-27 13:09 - 2022-04-27 13:09 - 000000000 ____D C:\Program Files (x86)\Jdb24q8
  2022-04-25 22:45 - 2022-04-25 22:53 - 000715264 _____ (<:8>:<C@HD9CGHID=I56) C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.exe
  2022-04-24 22:33 - 2022-04-24 22:33 - 000000000 ____D C:\Program Files (x86)\Ippzx
  2022-04-13 17:38 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\wnn.Db..tmp
  2022-04-13 17:38 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\BJpfj.x.tmp
  2022-04-12 22:09 - 2022-04-12 22:09 - 009223152 _____ C:\Users\dasha\AppData\Roaming\nojIvtgj..exe
  2022-04-12 22:09 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\mB.qHAI.tmp
  2022-04-12 22:09 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\tnhmEob.tmp
  2022-04-12 22:06 - 2022-04-12 22:06 - 009223152 _____ C:\Users\dasha\AppData\Roaming\anEqGla.u.exe
  2022-04-12 22:06 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\HozrFqv.tmp
  2022-04-12 22:06 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\Dggbbkw.tmp
  2022-04-12 21:58 - 2022-04-16 22:25 - 000000000 ____D C:\Users\dasha\AppData\Local\0667146e
  2022-04-12 21:58 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\vrt.D.i.tmp
  2022-04-12 21:58 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\aAyrwGh.tmp
  NetShield Kit 1.3.30.0 (HKLM-x32\...\{0db1f7db-6548-4238-9139-32145c004df1}) (Version: 1.3.30.0 - Sigma Software) Hidden
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\Users\dasha\Local Settings:12-04-2022 [1039]
  AlternateDataStreams: C:\Users\dasha\Local Settings:13-04-2022 [23442]
  AlternateDataStreams: C:\Users\dasha\Local Settings:14-04-2022 [18103]
  AlternateDataStreams: C:\Users\dasha\Local Settings:15-04-2022 [111]
  AlternateDataStreams: C:\Users\dasha\Local Settings:16-04-2022 [74767]
  AlternateDataStreams: C:\Users\dasha\Local Settings:17-04-2022 [26388]
  AlternateDataStreams: C:\Users\dasha\Local Settings:18-04-2022 [10771]
  AlternateDataStreams: C:\Users\dasha\Local Settings:19-04-2022 [6134]
  AlternateDataStreams: C:\Users\dasha\Local Settings:20-04-2022 [516]
  AlternateDataStreams: C:\Users\dasha\Local Settings:21-04-2022 [15777]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:12-04-2022 [1039]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:13-04-2022 [23442]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:14-04-2022 [18103]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:15-04-2022 [111]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:16-04-2022 [74767]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:17-04-2022 [26388]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:18-04-2022 [10771]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:19-04-2022 [6134]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:20-04-2022 [516]
  AlternateDataStreams: C:\Users\dasha\AppData\Local:21-04-2022 [15777]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:12-04-2022 [1039]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:13-04-2022 [23442]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:14-04-2022 [18103]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:15-04-2022 [111]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:16-04-2022 [74767]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:17-04-2022 [26388]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:18-04-2022 [10771]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:19-04-2022 [6134]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:20-04-2022 [516]
  AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:21-04-2022 [15777]
  IE trusted site: HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\webcompanion.com -> hxxp://webcompanion.com
  FirewallRules: [{74525537-8ECC-4159-BA06-B5A481E10ABA}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
  FirewallRules: [{5CE57896-83EB-4779-ADD2-3E51AEB90F8E}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата

 

Bonjour

NetShield Kit 1.3.30.0

 

 

[dariya]

нашел 460 кб файлы

460kb.rar

[Sandor]

Увы, суть не в размере файлов, а в использовании злоумышленниками не локального ключа, а удаленного.

 

Скрипт выполняйте, в системе активен майнер.

[dariya]

2 минуты назад, Sandor сказал:

Увы, суть не в размере файлов, а в использовании злоумышленниками не локального ключа, а удаленного.

 

Скрипт выполняйте, в системе активен майнер.

ну есливсе данные утеряны, я тогда просто форматну винт, и поставлю чистую винду((

спасибо

[Sandor]

Тоже вариант.

Если есть возможность, сохраните зашифрованные файлы вместе с запиской о выкупе куда-нибудь на внешний носитель и отложите.

Не исключено, что через некоторое время расшифровка появится.

[dariya]

5 минут назад, Sandor сказал:

Тоже вариант.

Если есть возможность, сохраните зашифрованные файлы вместе с запиской о выкупе куда-нибудь на внешний носитель и отложите.

Не исключено, что через некоторое время расшифровка появится.

спасибо, вот фикслог, вроде чисто уже

Fixlog.txt

[Sandor]

Если решили продолжать очистку, дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Не нужно полностью цитировать предыдущее сообщение. Отвечайте в форме быстрого ответа внизу темы.

[dariya]

AdwCleaner Logs

AdwCleaner[S00].txt

[Sandor]

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.