Перейти к содержанию

расшифровать *.gtys

dariya
 Share Подписчики 2

Рекомендуемые сообщения

dariya

dariya 0

Опубликовано
Опубликовано

На компьютере у сестры нет антивируса и в один момент все файлы закодированы *.gtys

Еще не запускали на сканирование/чистку от вирусов, виндовс тоже не трогали

arch.rar

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

Ссылка на сообщение
Поделиться на другие сайты
dariya

dariya 0

Опубликовано
  • Автор
Опубликовано
17 часов назад, Sandor сказал:

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

Будем лечить, я даже на вирусы не сканирую комп. может тело как то поискать?

Ссылка на сообщение
Поделиться на другие сайты
dariya

dariya 0

Опубликовано
  • Автор
Опубликовано
18 часов назад, Sandor сказал:

Здравствуйте!

 

Скорее всего расшифровать не получится.

Постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 150 Кбайт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка. Вдруг повезёт.

 

Систему планируете переустанавливать или будем лечить?

 

курсова.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

К сожалению, не сработало. В вашем случае был использован online ключ и расшифровке не поддается.

Сейчас подготовлю скрипт для очистки системы.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
(services.exe ->) () [Файл не подписан] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
(services.exe ->) (SignPath Foundation -> Transmission Project) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\Transmission\transmission-daemon.exe
HKLM-x32\...\Run: [ZaxarLoader] => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent (Нет файла)
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [dasha] => explorer.exe hxxp://dinoraptzor.org (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [Driver] => C:\Users\dasha\AppData\Roaming\Sysfiles\8AF8.exe [5978624 2022-04-20] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [SysHelper] => C:\Users\dasha\AppData\Local\e4b15be4-d25d-4a11-b477-e4e623c51f55\15DB.exe [861696 2022-04-19] () [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [_BHXY08HL8] => C:\Program Files (x86)\Ippzx\qpayz9.exe [42176 2022-04-24] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [FLRX2T28H] => C:\Program Files (x86)\Akvz4\regsvcp6t.exe [42176 2022-04-25] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\Run: [_DKTEFDXCNYP] => C:\Program Files (x86)\Jdb24q8\wptlwbzpxlw.exe [42176 2022-04-27] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: F - F:\Autorun.exe
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: G - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: {63f9c9d9-c8ad-11e8-845d-f0761c2f023c} - F:\Lenovo_Suite.exe
HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\MountPoints2: {cd972d12-ab4d-11eb-99be-f0761c2f023c} - F:\Autorun.exe
InternetURL: C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Line\Driver.url -> URL: file:///C:\Users\dasha\AppData\Roaming\Sysfiles\8AF8.exe
ShortcutTarget: Microsoft Edge.lnk -> C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.exe (<:8>:<C@HD9CGHID=I56) [Файл не подписан]
Startup: C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Line\Line.exe [2022-04-22] (LINE Corporation) [Файл не подписан]
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {06D67BDB-217F-4ECD-BCD5-67D65AEE4443} - System32\Tasks\Time Trigger Task => C:\Users\dasha\AppData\Local\370eaac8-840c-4f53-93ef-12b3e205c327\15DB.exe [861696 2022-04-19] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {20ECF61C-B8C3-46C4-A4F2-02E9E384A30F} - \06C56C08-59BC-558A-E82B-6B23397CAD04 -> Нет файла <==== ВНИМАНИЕ
Task: {360676BD-A5F2-44C0-9EEB-2251D25A86DE} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6979072 2020-09-17] () [Файл не подписан]
Task: {3B9A7D43-D292-4D4C-8227-428131E71FBE} - System32\Tasks\NetShield Kit scheduled Autoupdate => C:\Program Files (x86)\NetShield Kit\cli.exe [193536 2020-09-17] (Sigma Software) [Файл не подписан]
Task: {81E9090D-C5D0-4E65-9932-5BDDCFBD3F23} - \{9CB9CE11-0921-2D7D-59DF-198BF0591064} -> Нет файла <==== ВНИМАНИЕ
Task: {8FCAD357-AC2C-4407-BD8C-895751D537A4} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [1790184 2021-09-18] (Avast Software s.r.o. -> Avast Software)
Task: {B45CB2F6-24FE-4168-83CF-737CA77A2A13} - System32\Tasks\ftewk.exe => C:\Users\dasha\AppData\Local\Temp\e014321378\ftewk.exe (Нет файла) <==== ВНИМАНИЕ
Task: {EE1669B2-FE80-4E2C-8684-7B7829BFB79D} - System32\Tasks\System\SystemCheck => C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Helper.exe -SystemCheck (Нет файла) <==== ВНИМАНИЕ
C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\klkjgpmdjocaabfgddmnbahcaibjnene
C:\Users\dasha\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn
CHR HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [klkjgpmdjocaabfgddmnbahcaibjnene]
CHR HKLM-x32\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn]
R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [6979072 2020-09-17] () [Файл не подписан]
R2 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project) [Файл не подписан] [Файл уже используется]
U3 a46spuuh; C:\Windows\System32\Drivers\a46spuuh.sys [0 0000-00-00] (Microsoft Corporation) <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
2022-04-27 13:09 - 2022-04-27 13:09 - 000000000 ____D C:\Program Files (x86)\Jdb24q8
2022-04-25 22:45 - 2022-04-25 22:53 - 000715264 _____ (<:8>:<C@HD9CGHID=I56) C:\Users\dasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.exe
2022-04-24 22:33 - 2022-04-24 22:33 - 000000000 ____D C:\Program Files (x86)\Ippzx
2022-04-13 17:38 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\wnn.Db..tmp
2022-04-13 17:38 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\BJpfj.x.tmp
2022-04-12 22:09 - 2022-04-12 22:09 - 009223152 _____ C:\Users\dasha\AppData\Roaming\nojIvtgj..exe
2022-04-12 22:09 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\mB.qHAI.tmp
2022-04-12 22:09 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\tnhmEob.tmp
2022-04-12 22:06 - 2022-04-12 22:06 - 009223152 _____ C:\Users\dasha\AppData\Roaming\anEqGla.u.exe
2022-04-12 22:06 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\HozrFqv.tmp
2022-04-12 22:06 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\Dggbbkw.tmp
2022-04-12 21:58 - 2022-04-16 22:25 - 000000000 ____D C:\Users\dasha\AppData\Local\0667146e
2022-04-12 21:58 - 2020-10-09 09:54 - 000045056 _____ C:\Users\dasha\AppData\Roaming\vrt.D.i.tmp
2022-04-12 21:58 - 2018-10-01 10:09 - 000000577 _____ C:\Users\dasha\AppData\Roaming\aAyrwGh.tmp
NetShield Kit 1.3.30.0 (HKLM-x32\...\{0db1f7db-6548-4238-9139-32145c004df1}) (Version: 1.3.30.0 - Sigma Software) Hidden
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\Users\dasha\Local Settings:12-04-2022 [1039]
AlternateDataStreams: C:\Users\dasha\Local Settings:13-04-2022 [23442]
AlternateDataStreams: C:\Users\dasha\Local Settings:14-04-2022 [18103]
AlternateDataStreams: C:\Users\dasha\Local Settings:15-04-2022 [111]
AlternateDataStreams: C:\Users\dasha\Local Settings:16-04-2022 [74767]
AlternateDataStreams: C:\Users\dasha\Local Settings:17-04-2022 [26388]
AlternateDataStreams: C:\Users\dasha\Local Settings:18-04-2022 [10771]
AlternateDataStreams: C:\Users\dasha\Local Settings:19-04-2022 [6134]
AlternateDataStreams: C:\Users\dasha\Local Settings:20-04-2022 [516]
AlternateDataStreams: C:\Users\dasha\Local Settings:21-04-2022 [15777]
AlternateDataStreams: C:\Users\dasha\AppData\Local:12-04-2022 [1039]
AlternateDataStreams: C:\Users\dasha\AppData\Local:13-04-2022 [23442]
AlternateDataStreams: C:\Users\dasha\AppData\Local:14-04-2022 [18103]
AlternateDataStreams: C:\Users\dasha\AppData\Local:15-04-2022 [111]
AlternateDataStreams: C:\Users\dasha\AppData\Local:16-04-2022 [74767]
AlternateDataStreams: C:\Users\dasha\AppData\Local:17-04-2022 [26388]
AlternateDataStreams: C:\Users\dasha\AppData\Local:18-04-2022 [10771]
AlternateDataStreams: C:\Users\dasha\AppData\Local:19-04-2022 [6134]
AlternateDataStreams: C:\Users\dasha\AppData\Local:20-04-2022 [516]
AlternateDataStreams: C:\Users\dasha\AppData\Local:21-04-2022 [15777]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:12-04-2022 [1039]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:13-04-2022 [23442]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:14-04-2022 [18103]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:15-04-2022 [111]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:16-04-2022 [74767]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:17-04-2022 [26388]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:18-04-2022 [10771]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:19-04-2022 [6134]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:20-04-2022 [516]
AlternateDataStreams: C:\Users\dasha\AppData\Local\Application Data:21-04-2022 [15777]
IE trusted site: HKU\S-1-5-21-3411134475-1528265107-1617007738-1000\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{74525537-8ECC-4159-BA06-B5A481E10ABA}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{5CE57896-83EB-4779-ADD2-3E51AEB90F8E}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата

 

Bonjour

NetShield Kit 1.3.30.0

 

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Увы, суть не в размере файлов, а в использовании злоумышленниками не локального ключа, а удаленного.

 

Скрипт выполняйте, в системе активен майнер.

Ссылка на сообщение
Поделиться на другие сайты
dariya

dariya 0

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

Увы, суть не в размере файлов, а в использовании злоумышленниками не локального ключа, а удаленного.

 

Скрипт выполняйте, в системе активен майнер.

ну есливсе данные утеряны, я тогда просто форматну винт, и поставлю чистую винду((

спасибо

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Тоже вариант.

Если есть возможность, сохраните зашифрованные файлы вместе с запиской о выкупе куда-нибудь на внешний носитель и отложите.

Не исключено, что через некоторое время расшифровка появится.

Ссылка на сообщение
Поделиться на другие сайты
dariya

dariya 0

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Тоже вариант.

Если есть возможность, сохраните зашифрованные файлы вместе с запиской о выкупе куда-нибудь на внешний носитель и отложите.

Не исключено, что через некоторое время расшифровка появится.

спасибо, вот фикслог, вроде чисто уже

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Если решили продолжать очистку, дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Не нужно полностью цитировать предыдущее сообщение. Отвечайте в форме быстрого ответа внизу темы.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Paulo César
      Infecção de ransomware STOP (Djvu)
      От Paulo César
      Boa tarde...
       
      Estou passando por essa praga que é o ransomware, preciso de ajuda caso alguém o possa fazer. 
      Passei o arquivo pelo site id-ransomware.malwarehunterteam.com e a mensagem que o STOP (Djavu). Alguém conhece?... Tem uma ferramenta para indicar?
    • Alex81524
      Вирус зашифровал файлы и дрбавил расширение ahtw. Что делать?
      От Alex81524
      Вирус зашифровал файлы и дрбавил расширение ahtw. Что делать?
    • Виктор1
      Trojan.Encoder.26996 с расширением .jjww зашифровал мои файлы
      От Виктор1
      Здравствуйте! В прошлом году,я попался на Trojan.Encoder.26996,когда попытался использовать сторонний софт для скачивания видео из ютуба.Удалить заразу из компа мне удалось,но файлы расшифровать-нет.Прошу Вашей помощи. Да, забыл-тогда стояла Win7,после этого переустановил на Win10.
      Не могу прикрепить к своему сообщению образцы зашифрованных файлов и  логи анализа системы-не отображается кнопка для прикрепления файлов.Спасибо.
    • ssergey0707
      шифровальщик herad
      От ssergey0707
      вирус зашифровал все файли
      06 Вступ.doc.zip
    • Sthayssy Prado
      ARCHIVOS CIFRADOS POR ransomware Wnlu Virus (archivo .wnlu)
      От Sthayssy Prado
      Buenos días en Perú, el presente mensaje es para pedir ayuda en desencriptar varios archivos de mi computadora, usb y disco duro externo, entre los cuales se encuentran archivos en extención: 
      .docx
      .rar
      .pdf
      .exe
      .mp3
      .mp4
      .iso
      .url
      .jpg
      .xls 
      .bak
      .sql
      .jar
      .txt
      .abs
      .webm
      .mkv
      etc, etc.
       
      Casi el 90% de mis archivos han sido cifrados con la extensión: .wnlu y la verdad me esta perjudicando en mi trabajo, muchos son archivos de mis compañeros. Pediría que me ayuden a encontrar una solución para poder abrir mis archivos con normalidad.
       
      Gracias por anticipado...
       
       
       
×
×
  • Создать...