-
Junior Member
- Вес репутации
- 37
Помогите с расшифровкой имяфайла.расширение[email protected]_2GalBA t [Trojan-Ransom.Win32.Rakhni.cq]
Помогите с утилитой дешифровки.
Было
мануал AquaTherm 2014.pdf
Стало
мануал AquaTherm [email protected]_2GalBAt
Несколько подобных файлов в архиве по ссылке.
http://yadi.sk/d/cAG-2wOKRyJxW
Попутно подскажите ОС я могу переставить? Не смертельно? Просто все нужные файлы у меня на флешке остались зашифрованные.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Зайцев Антон, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 37
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\kfPLeAvWRRkCPC.exe','');
TerminateProcessByName('c:\windows\system32\betwinservicexp.exe');
QuarantineFile('c:\windows\system32\betwinservicexp.exe','');
DeleteFile('c:\windows\system32\betwinservicexp.exe','32');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\jhcjxpacvo\qjhjqsrzawlpq.html','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\0','command');
DeleteFile('C:\WINDOWS\system32\kfPLeAvWRRkCPC.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','xSbKauwZjTuihXUjSfkWDJAQUw');
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\jhcjxpacvo', '*', true);
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\jhcjxpacvo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи и прикрепите их на форуме через кнопку Расширенный режим
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 37
Прислать запрошенный карантин
hijackthis.log
virusinfo_syscheck.zip
virusinfo_syscure.zip
Сам карантин тут в архиве - http://yadi.sk/d/dcEQ2qPvS6Dd8
P.S - Файлы логов с того зараженного компьютера мне загрузить не удалось через ваш сервис, пришлось с другого компь.
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 37
Логи MBAM
Логи тут - http://yadi.sk/d/SfnhIqAwSEUA4
Через Ваш сервис не захотел прикреплять файл данного формата.
-
Ну так по ссылке ведь написано, что нужен текстовый файл, а не xml
Переделывайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 37
При нажатии Export log выборе txt и сохранении выдает ошибку.
error.JPG
- - - Добавлено - - -
P.S - Безопасный режим не предлагать, из за низкого разрешения кнопку Export даже близко не видно.
-
Все, что содержит Funmods, поместите в Карантин
Попробуйте сделать новый лог МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 37
День добрый.
Funmods поместил в карантин, ошибка после новой проверки и попытки сохранить ЛОГ осталась прежней.123.JPG
-
Деинсталлируйте новую версию MBAM. Далее
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
-
-
Junior Member
- Вес репутации
- 37
-
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> -> Действие не было предпринято.
Обнаруженные файлы:
C:\Documents and Settings\Администратор\Application Data\usernt.dat (Malware.Trace) -> Действие не было предпринято.
-
-
Junior Member
- Вес репутации
- 37
-
А дальше пока все. Помочь в расшифровке файлов не сможем.
-
-
Junior Member
- Вес репутации
- 37
Что значит "пока все".
Мне кроме расшифровки ничего и не нужно было (см название темы), я ОСь в любом случае хотел переставлять (о чем тоже упоминял в этой теме выше), а письмо мошенников меня уже неделю как не тревожит. Все можно форматировать?
-
Это значит что без покупки оригинального дешифратора файлы не получится расшифровать. Увы
Ознакомьтесь http://virusinfo.info/showthread.php?t=156694
Форматирование не поможет вернуть файлы.
-
-
Junior Member
- Вес репутации
- 37
Понимаю что не поможет форматирование, но вирусы удаляет все как один.
Покупать дешифратор у мошенников? Или у вас есть свой которым можно расшифровать?
-
Или у вас есть свой которым можно расшифровать?
У нас нету.
Покупать дешифратор у мошенников?
Или восстанавливать из бекапа.
-