Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Зашифровались файлы. Help me (заявка № 173625)

  1. #1
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8

    Зашифровались файлы. Help me

    Добрый день! Буду краток, зашифровались практически все файлы кроме системных, файлы изменили имя и расширение, имеют вот такой вид xTXnksqZci7JgGiKWg9l3B3uEAIO+itzzajmJ-aAWgJZfWiR-5Rc1RxV3rAxIQpa.xtbl

    Выполнил проверку следующими утилитами:
    AVPTool от "Лаборатория Касперского";
    Dr.Web CureIt! от «Доктор Веб»
    Нашлось штук 5-6 вирусов, удалилось.

    Прикладываю логи программ для помощи. Помогите пожалуйста в лечении, и если имеется возможность в расшифровании файлов, так как очень много важных файлов зашифрованы. При необходимости могу выложить образцы зашифрованных файлов.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,269
    Вес репутации
    327
    Уважаемый(ая) Vladimir64, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Как получили шифратора?

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Откуда был схвачен шифровальщик неизвестно, но есть подозрение что с эл. почты. Так как после запуска браузера изменились все файлы, до запуска была повреждена только часть.
    Прикрепляю результаты сканирования
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Куда просят обращаться за дешифратором? Что находили DrWeb и Kaspersky?

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
      Код:
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      BHO: QuickStores-Toolbar -> {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} -> C:\windows\system32\mscoree.dll (Microsoft Corporation)
      Toolbar: HKLM - QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - C:\windows\system32\mscoree.dll (Microsoft Corporation)
      FF HKU\S-1-5-21-220523388-1214440339-1177238915-500\...\Firefox\Extensions: [{C9BD4C68-D86F-71D3-5841-B16F1DEC93F6}] - C:\Program Files\BlockAndSurf-soft\173.xpi
      FF HKU\S-1-5-21-220523388-1214440339-1177238915-500\...\Firefox\Extensions: [{C84E2F89-F883-97B9-5382-1226EEEAD045}] - C:\Program Files\BlockAndSurfS\173.xpi
      CHR Extension: (BlockAndSurf) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dijbcfomobdddpdojnddegfbelckhiij [2014-06-15]
      CHR Extension: (BlockAndSurf) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nelmphhjfpihlhcohejfomfpggbglchf [2014-06-16]
      Folder: C:\Documents and Settings\All Users\Application Data\Windows
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Вот текст файла Readme.txt который создался на всех логических дисках

    "Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    B3B2B72AACCCAD26B8AE|0
    на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

    Что именно находили Касперский и Др.Веб не помню, хотел же записать, но так и не сделал этого.
    Вложения Вложения

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Готово

    - - - - -Добавлено - - - - -

    Автор шифровальщика ответил на письмо, прикладываю во вложении, если это хоть как то поможет для будущего привлечения его к ответственности.
    Изображения Изображения
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Выполните скрипт в uVS:

    Код:
    ;uVS v3.85 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    breg
    
    delall %SystemDrive%\PROGRAM FILES\BLOCKANDSURF-SOFT\173.DLL
    delall %SystemDrive%\PROGRAM FILES\BLOCKANDSURFS\173.DLL
    delall %SystemDrive%\PROGRAM FILES\GOFORFILES UPDATER\GFFUPDATER.EXE
    delall %SystemDrive%\PROGRAM FILES\V-BATES\PREFHELPER.EXE
    restart
    Компьютер перезагрузится. Без тела самого шифратора, думаю шансов у вас нет.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Папка ZOO_ не появилась, появился только текстовый файл(прикреплю), а что больше ничего нельзя будет предпринять?
    Вложения Вложения

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    а что больше ничего нельзя будет предпринять?
    Без наличия самого шифратора непонятно каким алгоритмом шифрования были пошифрованы ваши файлы, а в некоторых случаях, чтобы сделать расшифровку нужен именно сам шифратор, которого скорее всего уже нет на этом компьютере.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. #12
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Без наличия самого шифратора непонятно каким алгоритмом шифрования были пошифрованы ваши файлы, а в некоторых случаях, чтобы сделать расшифровку нужен именно сам шифратор, которого скорее всего уже нет на этом компьютере.
    Так могу же с помощью программ восстановления данных что нибудь порыть, только знать бы что искать, может у него какое нибудь название есть?

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Ищите. Подозрительные файлы можете загружать в zip архиве с паролем virus по красной ссылке вверху темы.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #14
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Выложу логи сканирования eset smart security и dr web cureit, в первом случае я отсеял по дате, потому что началось все где то с вечера 26 числа, от доктора веба полный вчерашний лог сканирования. Может от туда можно найти что по делу? как то распознать что за троян был или что то подобное.
    Вложения Вложения

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Нужны следующие файлы:

    \Device\HarddiskVolume1\Documents and Settings\All Users\Application Data\Windows\csrss.exe - quarantined, reboot required
    C:\Documents and Settings\Admin\Local Settings\Temp\228.tmp - quarantined, reboot required
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  17. #16
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Файлы загрузил, добавил туда еще парочку подозрительных исполняемых файлов

  18. #17
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    csrss.exe - поврежден похоже.
    kldw.png - чистый.
    uninst_77858207.bat - чистый
    wmi64.exe - поврежден похоже
    228.png - чистый.
    wow_helper.exe - поврежден похоже
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  19. #18
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    csrss.exe - поврежден похоже.
    kldw.png - чистый.
    uninst_77858207.bat - чистый
    wmi64.exe - поврежден похоже
    228.png - чистый.
    wow_helper.exe - поврежден похоже
    и что теперь?

  20. #19
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,248
    Вес репутации
    1022
    Да ничего, с расшифровкой не поможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  21. #20
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Да ничего, с расшифровкой не поможем.
    У вас на форуме же есть платная расшифровка, это тоже не вариант?

  • Уважаемый(ая) Vladimir64, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 13.11.2014, 21:50
    2. Ответов: 2
      Последнее сообщение: 31.10.2014, 17:51
    3. Зашифровались файлы
      От djlens в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.08.2013, 20:27
    4. Зашифровались все файлы
      От Astal в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.10.2012, 14:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01049 seconds with 21 queries