Помогите пожалуйста спасти инфу. Все документы и другие файлы получили расширение .cry
Помогите пожалуйста спасти инфу. Все документы и другие файлы получили расширение .cry
Уважаемый(ая) Alavar, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Разгребаюсь с тем, что произашло (как не знаю) все файлы имеют хвост .cry
Результат загрузки
Файл сохранён как 140912_101050_virus_5412c6aa4d7fb.zip
Размер файла 538027
MD5 0ef379129b4a84c71ee13540047871b9
Файл закачан, спасибо!
- - - - -Добавлено - - - - -
Пример зашифрованных файлов
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe',''); QuarantineFile('C:\Documents and Settings\savina.svetlana\Local Settings\Application Data\Microsoft\Windows\system.vbs',''); QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe',''); DeleteFile('C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker'); DeleteFile('C:\Documents and Settings\savina.svetlana\Local Settings\Application Data\Microsoft\Windows\system.vbs','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); DeleteFile('C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe','32'); RegKeyParamDel('HKEY_USERS','S-1-5-21-1112091864-3458939556-1066572027-1151\Software\Microsoft\Windows\CurrentVersion\Run','SystemAutorun'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:O4 - HKLM\..\Run: [SystemScript] "C:\Documents and Settings\admin.SVLOREAL\Local Settings\Application Data\Microsoft\Windows\system.vbs" O4 - HKCU\..\Run: [SystemScript] "C:\Documents and Settings\admin.SVLOREAL\Local Settings\Application Data\Microsoft\Windows\system.vbs" O4 - HKUS\S-1-5-21-1112091864-3458939556-1066572027-1151\..\Run: [LoaderLocker] C:\Documents and Settings\savina.svetlana\Application Data\system app\loader.exe (User 'karavajnaja.irina') O4 - HKUS\S-1-5-21-1112091864-3458939556-1066572027-1151\..\Run: [SystemAutorun] C:\Documents and Settings\savina.svetlana\Главное меню\Программы\Автозагрузка\SystemAutorun.exe (User 'karavajnaja.irina') O4 - S-1-5-21-1112091864-3458939556-1066572027-1151 Startup: SystemAutorun.exe (User 'karavajnaja.irina')
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
У меня маленький вопросик. Я вылечу машину от вирусов, а восстановить данные (расшифровать) получится ?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Добавлю: с расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
както так
Последний раз редактировалось thyrex; 12.09.2014 в 17:59.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Результат загрузки
Файл сохранён как 140912_140911_qarantine_5412fe87937b0.zip
Размер файла 54767
MD5 6dcd03bcbc23bf02ba4c7c5982b35e5a
Файл закачан, спасибо!
Ждем новые логи.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
log
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
quarantine2.zip пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Encrypt.exe',''); QuarantineFile('C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Microsoft Office Standart.rar',''); CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip'); end.
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).
Обратите внимание! Для остальных объектов выберете действие "Ignore" ("Игнорировать").Код:Данные реестра: PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1125-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[774c9e4ee992979fb331797c1ee636ca] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1126-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[7d4646a691ea81b5b13374817a8aa957] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1134-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[913227c5b1ca20164f95876edf250cf4] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1144-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[80434aa2fb802e08628208edaf55ce32] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1146-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[f6cd7d6ff78440f64e968075ac5801ff] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1150-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[695a66860e6d6fc7687cdf160afa50b0] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1151-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[388b618bb7c467cfc123896cf410ad53] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1152-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[9b285795b3c8b97d737150a5f80cc23e] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1153-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[2c97a24a4338b87eb52f4ca9c93b9e62] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1168-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[f9ca5b9103780036aa3a9a5b48bc748c] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1176-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[e9da707cfa8174c20ada55a01de76e92] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1210-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[c20134b883f811252fb533c22dd7649c] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1211-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[a51e7874a4d7a4925f8528cdf3117c84] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1216-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[10b31bd1afccf93d6c7850a519eb9f61] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1218-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[13b0b03c661594a2697b8372bd479070] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1220-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[b40f94580e6d201642a207ee57ad837d] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1221-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[edd6ab41cbb08caaf4f083724eb634cc] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-1281-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[8241678584f73600667e8d68030120e0] PUM.Hijack.DisplayProperties, HKU\S-1-5-21-1112091864-3458939556-1066572027-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NoDispScrSavPage, 1, Good: (0), Bad: (1),,[d2f1ba32aecdeb4bbf250ee7bc4818e8] Файлы: Trojan.Hoaxsms, C:\Documents and Settings\savina.svetlana\Application Data\system app.rar, , [ba093cb054276dc912213f5411ef7789], Backdoor.MSIL.PGen, C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Encrypt.exe, , [319209e3a0db082ee00aa4f216eabc44], Backdoor.MSIL.PGen, C:\Documents and Settings\savina.svetlana\Application Data\Microsoft Office Standart\Microsoft Office Standart.rar, , [5b68df0d790254e2f0fac4d22dd3fb05], Trojan.Hoaxsms, C:\RECYCLER\S-1-5-21-842925246-1547161642-1606980848-500\Dc2.exe, , [e6dd6b810279999d0c27d8bb9d6311ef], Backdoor.MSIL.PGen, C:\RECYCLER\S-1-5-21-842925246-1547161642-1606980848-500\Dc3.exe, , [8d367379eb901f1762881185ca36649c],
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Пока еще ничего не удалял. Вирус очень сложный - мне аж нравится ))) Похоже у ребят из касперского и веба уйдет какоето время на дешифровку. Похоже на то что у меня самая свежая модификация. Логи будут чуть позже. Люди которые разработали данный алгоритм шифрования берут за расшифровку 190 грн. В доказательство они расшифровали 1 файл и показали скрин его содержимого. На расшифровку у него ушло 3 минуты (специально засекал). Похоже алгоритм сложный и лекарства ждать не скоро.
Они Вам расшифровывали в прямом эфире что ли? ))) Лекарство от вирлабов вряд ли будет вообще
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\savina.svetlana\local settings\application data\microsoft\windows\system.vbs - Trojan.VBS.Agent.su ( DrWEB: Trojan.Ormes.9, AVAST4: VBS:AutoRun-CS [Trj] )
Уважаемый(ая) Alavar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.