На компьютере вредоносной программой были зашифрованы все документы. Вирус был удален, но документы остались зашифроваными. Есть ли возможность их расшифровать еще?
Printable View
На компьютере вредоносной программой были зашифрованы все документы. Вирус был удален, но документы остались зашифроваными. Есть ли возможность их расшифровать еще?
Уважаемый(ая) [B]Internazionale[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
В инструкции написано 1-ый пункт пропускать для 64-разрядной системы, поэтому приаттачено только 2 файла, а не 3.
[QUOTE]Вирус был удален, но документы остались зашифроваными.[/QUOTE]
Как была помойка на компьютере так она и осталась.
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
QuarantineFile('C:\Users\Starkon\AppData\Roaming\OdnUqnxVqtAcmfpq4n\encrypter.exe','');
TerminateProcessByName('c:\users\starkon\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe');
DeleteFile('c:\users\starkon\appdata\roaming\odnuqnxvqtacmfpq4n\tor\tor.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
DeleteFile('C:\Users\Starkon\AppData\Roaming\MyDesktop\qweeeCL.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorProject');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EncrypterEpta');
DeleteFile('C:\Users\Starkon\AppData\Roaming\OdnUqnxVqtAcmfpq4n\encrypter.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Kit Rush','64');
DeleteFile('C:\Windows\system32\Tasks\Kit Rush2','64');
DeleteFile('C:\Users\Starkon\AppData\Local\Kit Rush\{569BCD18-0B60-9F0C-CD28-C89FF4ABEFCE}\ipai.dll','32');
DeleteFile('C:\Windows\system32\Tasks\RegClean Pro','64');
DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','64');
DeleteFile('C:\Users\Starkon\AppData\Roaming\WindowsUpdater\Updater.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[b]mike 1[/b], привет
Поскольку форма загрузки файла карантина почему-то говорит, что файл уже загружен, то я прикрепляю фпйл карантина и остальные запрошенные файлы здесь...
Спасибо!
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Готово!
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Есть!
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
Готово
[QUOTE]C:\Users\Starkon\Downloads\nod-32-klyuchi-2c-svezhie-nod32-klyuchi-nod32.exe[/QUOTE]
Вот к чему приводит использование всяких лечилок и экономия денег на антивирусе. Скупой в конце концов платит дважды.
[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [gmsd_re_005010208] => [X]
S2 d3dadapter; %SystemRoot%\System32\d3dadapter.dll [X]
R2 ihctrl32; C:\Windows\SysWOW64\ihctrl32.dll [221184 2009-07-14] () [File not signed]
S2 ir16_32; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 ir16_32; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S2 wlanmgr; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation)
R2 wsaudio; C:\Windows\SysWOW64\wsaudio.dll [367104 2009-07-14] () [File not signed]
NETSVCx32: d3dadapter -> C:\Windows\SysWOW64\d3dadapter.dll ==> No File
NETSVCx32: wlanmgr -> no filepath.
NETSVCx32: ir16_32 -> no filepath.
2016-01-15 14:55 - 2016-01-15 14:54 - 00001051 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-01-15 14:54 - 2016-01-15 15:21 - 00000000 ____D C:\Users\Starkon\AppData\Roaming\Calculator
2016-01-15 14:53 - 2016-01-15 14:53 - 03881432 _____ C:\Users\Starkon\Downloads\nod-32-klyuchi-2c-svezhie-nod32-klyuchi-nod32.exe
2016-01-15 11:04 - 2016-01-15 11:04 - 00000000 ____D C:\Users\Все пользователи\ohhLprKOIfVW
2016-01-15 11:04 - 2016-01-15 11:04 - 00000000 ____D C:\ProgramData\ohhLprKOIfVW
2016-01-14 22:33 - 2016-01-14 22:33 - 00000000 ____D C:\Users\Все пользователи\mrdYueV
2016-01-14 22:33 - 2016-01-14 22:33 - 00000000 ____D C:\Users\Все пользователи\fvZdkuQiAgsPPK
2016-01-14 22:33 - 2016-01-14 22:33 - 00000000 ____D C:\ProgramData\mrdYueV
2016-01-14 22:33 - 2016-01-14 22:33 - 00000000 ____D C:\ProgramData\fvZdkuQiAgsPPK
2016-01-13 20:56 - 2016-01-13 20:56 - 00000000 ____D C:\Users\Все пользователи\UwlAGmaCIsqDf
2016-01-13 20:56 - 2016-01-13 20:56 - 00000000 ____D C:\Users\Все пользователи\sMROQfNdTpdaUkG
2016-01-13 20:56 - 2016-01-13 20:56 - 00000000 ____D C:\ProgramData\UwlAGmaCIsqDf
2016-01-13 20:56 - 2016-01-13 20:56 - 00000000 ____D C:\ProgramData\sMROQfNdTpdaUkG
2016-01-13 08:56 - 2016-01-13 08:56 - 00000000 ____D C:\Users\Все пользователи\StHbgljvPw
2016-01-13 08:56 - 2016-01-13 08:56 - 00000000 ____D C:\Users\Все пользователи\HczZgSYSsYek
2016-01-13 08:56 - 2016-01-13 08:56 - 00000000 ____D C:\ProgramData\StHbgljvPw
2016-01-13 08:56 - 2016-01-13 08:56 - 00000000 ____D C:\ProgramData\HczZgSYSsYek
2016-01-12 07:05 - 2016-03-07 17:23 - 00000000 ____D C:\Users\Starkon\AppData\Roaming\tor
2016-01-12 07:05 - 2016-01-15 15:33 - 00000000 ____D C:\Users\Starkon\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-11 13:33 - 2016-01-11 13:33 - 00000000 ____D C:\Users\Все пользователи\BOHFllCViAKTAT
2016-01-11 13:33 - 2016-01-11 13:33 - 00000000 ____D C:\Users\Все пользователи\BGRKOpCp
2016-01-11 13:33 - 2016-01-11 13:33 - 00000000 ____D C:\ProgramData\BOHFllCViAKTAT
2016-01-11 13:33 - 2016-01-11 13:33 - 00000000 ____D C:\ProgramData\BGRKOpCp
2016-01-11 13:30 - 2016-01-11 13:31 - 00000000 ____D C:\Users\Starkon\AppData\Roaming\ProductData
2016-01-11 13:29 - 2016-03-07 18:39 - 00000000 ____D C:\Program Files (x86)\Genie Soft
2016-01-11 13:29 - 2016-01-15 15:34 - 00000000 ____D C:\Users\Starkon\AppData\Roaming\WindowsUpdater
2016-01-11 13:29 - 2016-01-11 13:29 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-01-11 13:29 - 2016-01-11 13:29 - 00000000 ____D C:\Users\Public\Documents\GenieSoft
2016-01-11 13:28 - 2016-03-07 18:41 - 00000000 ____D C:\Users\Starkon\AppData\LocalLow\Unity
2016-01-11 13:28 - 2016-03-07 18:41 - 00000000 ____D C:\Users\Starkon\AppData\Local\Unity
2016-01-11 13:28 - 2016-01-15 13:37 - 00000000 ____D C:\Users\Starkon\AppData\Local\Hostinstaller
2016-01-11 13:28 - 2016-01-11 13:28 - 00000000 ____D C:\Users\Starkon\AppData\Roaming\MyDesktop
2016-01-11 13:28 - 2016-01-11 13:28 - 00000000 ____D C:\Users\Starkon\AppData\Roaming\MailProducts
2016-01-11 13:27 - 2016-01-11 13:27 - 00000000 ____D C:\Users\Все пользователи\hwDPBZPLUojexnU
2016-01-11 13:27 - 2016-01-11 13:27 - 00000000 ____D C:\Users\Все пользователи\ADAoiAJUTsjE
2016-01-11 13:27 - 2016-01-11 13:27 - 00000000 ____D C:\ProgramData\hwDPBZPLUojexnU
2016-01-11 13:27 - 2016-01-11 13:27 - 00000000 ____D C:\ProgramData\ADAoiAJUTsjE
2016-03-07 18:40 - 2013-06-29 15:18 - 00000000 ____D C:\Users\Все пользователи\34BE82C4-E596-4e99-A191-52C6199EBF69
2016-03-07 18:40 - 2013-06-29 15:18 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2014-12-17 16:17 - 2014-12-17 16:17 - 0312591 _____ ( ) C:\Program Files (x86)\baidus.exe
FirewallRules: [{F91CA175-2F98-4123-BB08-68B1E4882BCD}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
FirewallRules: [{DADD6426-46C9-498E-A0A6-1B57680B75DD}] => (Allow) C:\Program Files (x86)\Mobogenie3\mobogenieP2sp.exe
hosts:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]upload.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]
[QUOTE=mike 1;1364654]Вот к чему приводит использование всяких лечилок и экономия денег на антивирусе. Скупой в конце концов платит дважды.[/QUOTE]
Согласен, буду исправляться.
upload.zip не создавался...
логи прикреплены
Файл зашифрованный пришлите.
Файл в архиве, так как загрузчик файлов не позволял просто файл загрузить...
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Данный дешифратор предназначен только для пользователя [B]Internazionale[/B]
Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется
Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
[URL="https://yadi.sk/d/C3BvfaUan5XG2"]Дешифратор[/URL]
Принцип работы с дешифратором:
1. Сохраните дешифратор в отдельную созданную папку.
2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.
Все получилось - дешифратор все сделал! Супер! Большое спасибо, mike 1! Надо вас поддержать!