Здравствуйте. Все файлы в ноутбуке зашифровались (Windows 7, 32Bit). Есть текстовый файл с сообщением о расшифровке (шантаж). Прошу помочь
Printable View
Здравствуйте. Все файлы в ноутбуке зашифровались (Windows 7, 32Bit). Есть текстовый файл с сообщением о расшифровке (шантаж). Прошу помочь
Уважаемый(ая) [B]DaurenYar[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Здравствуйте! Сделал сканирование. Файлы приложил. Ничего страшного что от другого пользователя зашел в Ноутбук?
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\javaint.lnk [2015-06-05]
ShortcutTarget: javaint.lnk -> C:\Users\Users\AppData\Roaming\javasrc\javasrce.exe (No File)
2015-06-23 16:46 - 2015-06-23 16:46 - 03148854 _____ C:\Users\user\AppData\Roaming\C177CC17C177CC17.bmp
2015-06-23 16:28 - 2015-06-23 16:28 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-23 16:28 - 2015-06-23 16:28 - 00000000 __SHD C:\ProgramData\Windows
2015-06-18 05:54 - 2015-06-23 08:43 - 00311296 _____ (Babyland Software Corporation) C:\Users\user\AppData\Roaming\c731200
2015-06-05 11:44 - 2015-06-23 18:39 - 00000000 ____D C:\Users\user\AppData\Roaming\B06D2DCF-5AB9-4278-BC42-AF84F15F2FAE
2015-06-05 11:44 - 2015-06-05 11:44 - 00000000 ____D C:\Users\user\AppData\Roaming\javasrc
2015-06-01 13:47 - 2015-06-01 13:47 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Панель запуска браузера Комета
2015-06-01 13:36 - 2015-06-01 13:36 - 00000000 ____D C:\Users\user\AppData\Roaming\4A5266F7-1433144190-E311-A05F-201A06D13947
2015-06-01 09:09 - 2015-06-01 09:09 - 00000000 ____D C:\Users\Все пользователи\Tencent
2015-06-01 09:09 - 2015-06-01 09:09 - 00000000 ____D C:\Users\user\AppData\Roaming\Tencent
2015-06-01 09:09 - 2015-06-01 09:09 - 00000000 ____D C:\ProgramData\Tencent
2015-06-01 09:00 - 2015-06-01 09:01 - 00000000 ____D C:\Users\user\AppData\Roaming\4A5266F7-1433127619-E311-A05F-201A06D13947
2015-06-01 09:00 - 2015-06-01 09:00 - 00000000 ____D C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASPackage
2015-06-01 09:00 - 2015-06-01 09:00 - 00000000 ____D C:\Users\user\AppData\Roaming\ASPackage
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Ноут перезагрузился. Лог прикрепил в сообщение
Логи в порядке. С расшифровкой не поможем.
Можно узнать по какой причине трудности с расшифровкой? Ведь у Вас есть опыт и все инструменты.
Причина в RSA-шифровании. Конечно если Вы арендуете за свой счет несколько суперкомпьютеров МГУ, то может быть мы сможем за неделю расшифровать несколько файлов.
Спасибо за помощь и ответ. В первый раз сталкиваюсь с такой проблемой. Вижу что это очень серьезно. По логам которые Вы изучили, что можете написать? Есть явные уязвимости? Если есть рекомендации можете подсказать. И в будущем мне самому интересно быть участником вашего форума и сайта, если есть у Вас курсы по безопасности, то очень рад поучаствовать. Заранее благодарю.
Записывайтесь на обучение попробуем научить.
[LIST][*]Для профилактики и защиты от повторных заражений загрузите [B]SecurityCheck by glax24[/B] [URL="http://virusinfo.info/soft/tool.php?tool=SecurityCheck"]отсюда[/URL] и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите отчет в вашей теме[/LIST]