Вирус зашифровал все

@normalekk · Регистрация: 06.09.2016

Author24 — интернет-сервис помощи студентам

Добрый день, недавно обнаружили, что файлы на нашем компьютеры перекодированы. Ворд, ексель, фото. Самое главное, что хотелось бы восстановить это фотографии. Есть ли такая возможность?

@thyrex · 14.08.2017, 11:59

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@normalekk · 16.08.2017, 11:38 **[ТС]**

Прикрепил логи

@thyrex · 19.08.2017, 20:16

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\wsaudio.dll','');
 QuarantineFile('C:\Windows\system32\ihctrl32.dll','');
 DeleteFile('C:\Windows\system32\ihctrl32.dll','32');
 DeleteFile('C:\Windows\system32\wsaudio.dll','32');
 DeleteFile('C:\Windows\winstart.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\InternetD','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

@normalekk · 21.08.2017, 15:21 **[ТС]**

Отправил

@thyrex · 21.08.2017, 15:29

Сообщение от thyrex

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

Дочитать до конца не хватило сил?

@normalekk · 22.08.2017, 16:33 **[ТС]**

Извините, вот

@normalekk · 04.09.2017, 15:26 **[ТС]**

Вот такой ответ получил из dr.web
Зашифровано одним из вариантов Trojan.Encoder.6557
На данный момент расшифровка нашими силами видится невозможной.
Восстановление файлов возможно только из резервных/теневых копий если велось их создание.

Основная рекомендация: обратиться с заявлением в территориальное управление полиции;
по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроклю

@thyrex · 04.09.2017, 23:03

Мы тем более помочь не сможем.

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@normalekk · 05.09.2017, 19:36 **[ТС]**

Вот прикрепил

@thyrex · 06.09.2017, 22:29

Расширения

SearchWay
The Safe Surfing
Teddy Protection Lite

удалите в Опере

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
S2 SherdewardcoosentConfiguration; C:\Program Files\Thteried\Ckaletionbuilder.dll [X]
S2 ihctrl32; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
2016-09-18 19:07 - 2016-09-18 19:07 - 007090176 _____ () C:\Users\Алена\AppData\Roaming\agent.dat
2016-09-18 19:07 - 2016-09-18 19:07 - 000054272 _____ () C:\Users\Алена\AppData\Roaming\ApplicationHosting.dat
2016-09-18 19:07 - 2016-09-18 19:07 - 001905707 _____ () C:\Users\Алена\AppData\Roaming\Biodex.tst
2016-09-18 19:07 - 2016-09-18 19:07 - 000070704 _____ () C:\Users\Алена\AppData\Roaming\Config.xml
2017-07-11 20:53 - 2017-07-11 20:53 - 000134566 _____ () C:\Users\Алена\AppData\Roaming\DMGR_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
2016-09-18 19:07 - 2016-09-18 19:07 - 000018432 _____ () C:\Users\Алена\AppData\Roaming\InstallationConfiguration.xml
2016-09-18 19:07 - 2016-09-18 19:07 - 000140288 _____ () C:\Users\Алена\AppData\Roaming\Installer.dat
2016-09-18 19:07 - 2016-09-18 19:07 - 000126464 _____ () C:\Users\Алена\AppData\Roaming\lobby.dat
2016-09-18 19:07 - 2016-09-18 19:07 - 000018432 _____ () C:\Users\Алена\AppData\Roaming\Main.dat
2016-09-18 19:07 - 2016-09-18 19:07 - 000005568 _____ () C:\Users\Алена\AppData\Roaming\md.xml
2016-09-18 19:07 - 2016-09-18 19:07 - 000126464 _____ () C:\Users\Алена\AppData\Roaming\noah.dat
2016-05-17 19:33 - 2016-05-17 19:36 - 000000165 _____ () C:\Users\Алена\AppData\Roaming\PLGComp.ini
2016-11-08 22:01 - 2016-11-08 22:01 - 000045270 _____ () C:\Users\Алена\AppData\Roaming\room_v3.dat
2016-09-18 19:07 - 2016-09-18 19:07 - 000072845 _____ () C:\Users\Алена\AppData\Roaming\StockKix.tst
2017-04-11 20:38 - 2017-04-12 18:13 - 000000120 _____ () C:\Users\Алена\AppData\Roaming\Microsoft\tmp.vbs
2016-09-18 18:56 - 2016-09-18 18:56 - 000000058 _____ () C:\Users\Алена\AppData\Local\expand.ini
Task: {08285646-6A12-4F97-9599-34460FCDF438} - \Current Render Mgr -> No File <==== ATTENTION
Task: {1DBBD62E-88D5-47E9-A002-B091ABE76CB9} - \Smart System Filter -> No File <==== ATTENTION
Task: {76357335-A333-4EF0-9065-032C37447E87} - \Translator Base Mgr -> No File <==== ATTENTION
Task: {88B2E5B1-7745-4282-9B71-56721454C464} - \Sherdewardcoosent Configuration -> No File <==== ATTENTION
Task: {D89EBF66-4FF2-4FF4-B27C-2DD3CF8CCE14} - \Uninstaller_SkipUac_Алена -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

@normalekk · 12.09.2017, 20:37 **[ТС]**

У меня даже не установлен этот браузер. Вроде нашел на диске папку опера но запустить никак немогу, скрин папки прикрепил ниже.

@normalekk · 12.09.2017, 21:01 **[ТС]**

Вот, вроде получилось.

@thyrex · 13.09.2017, 06:52

Чистка мусора завершена. Остальное не в наших силах.

@normalekk · 18.03.2018, 16:01 **[ТС]**

Добрый день, открыв папку мои документы, нашел файл(формата xps), не является ли он ключом?
Открыть не получилось.
Прикрепил его

@normalekk · 18.03.2018, 16:07 **[ТС]**

вот еще файл нашел форvата Bak

@normalekk · 18.03.2018, 16:43 **[ТС]**

Добрый день, открыв папку мои документы, нашел файл(формата xps), не является ли он ключом?
Открыть не получилось.
Прикрепил его

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,484
	14.08.2017, 11:59	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,484
	19.08.2017, 20:16	4
	Выполните скрипт в AVZ Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\wsaudio.dll',''); QuarantineFile('C:\Windows\system32\ihctrl32.dll',''); DeleteFile('C:\Windows\system32\ihctrl32.dll','32'); DeleteFile('C:\Windows\system32\wsaudio.dll','32'); DeleteFile('C:\Windows\winstart.bat','32'); DeleteFile('C:\Windows\system32\Tasks\InternetD','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ Код begin CreateQurantineArchive('c:\quarantine.zip'); end. Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!! Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. 0

@normalekk 0 / 0 / 0 Регистрация: 06.09.2016 Сообщений: 44
	21.08.2017, 15:21 [ТС]	5
	Отправил 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,484
	21.08.2017, 15:29	6
	Сообщение от thyrex Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. Дочитать до конца не хватило сил? 0

@normalekk 0 / 0 / 0 Регистрация: 06.09.2016 Сообщений: 44
	04.09.2017, 15:26 [ТС]	8
	Вот такой ответ получил из dr.web Зашифровано одним из вариантов Trojan.Encoder.6557 На данный момент расшифровка нашими силами видится невозможной. Восстановление файлов возможно только из резервных/теневых копий если велось их создание. Основная рекомендация: обратиться с заявлением в территориальное управление полиции; по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства. Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроклю 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,484
	04.09.2017, 23:03	9
	Мы тем более помочь не сможем. Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@normalekk 0 / 0 / 0 Регистрация: 06.09.2016 Сообщений: 44
	12.09.2017, 20:37 [ТС]	12
	У меня даже не установлен этот браузер. Вроде нашел на диске папку опера но запустить никак немогу, скрин папки прикрепил ниже. Миниатюры 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,484
	13.09.2017, 06:52	14
	Чистка мусора завершена. Остальное не в наших силах. 0

	18.03.2018, 16:43