Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Зашифровались файлы. Help me (заявка № 173625)

  1. #1
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12

    Зашифровались файлы. Help me

    Добрый день! Буду краток, зашифровались практически все файлы кроме системных, файлы изменили имя и расширение, имеют вот такой вид xTXnksqZci7JgGiKWg9l3B3uEAIO+itzzajmJ-aAWgJZfWiR-5Rc1RxV3rAxIQpa.xtbl

    Выполнил проверку следующими утилитами:
    AVPTool от "Лаборатория Касперского";
    Dr.Web CureIt! от «Доктор Веб»
    Нашлось штук 5-6 вирусов, удалилось.

    Прикладываю логи программ для помощи. Помогите пожалуйста в лечении, и если имеется возможность в расшифровании файлов, так как очень много важных файлов зашифрованы. При необходимости могу выложить образцы зашифрованных файлов.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Vladimir64, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Как получили шифратора?

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  5. #4
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Откуда был схвачен шифровальщик неизвестно, но есть подозрение что с эл. почты. Так как после запуска браузера изменились все файлы, до запуска была повреждена только часть.
    Прикрепляю результаты сканирования
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Куда просят обращаться за дешифратором? Что находили DrWeb и Kaspersky?

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита:
      Код:
      CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
      BHO: QuickStores-Toolbar -> {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} -> C:\windows\system32\mscoree.dll (Microsoft Corporation)
      Toolbar: HKLM - QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - C:\windows\system32\mscoree.dll (Microsoft Corporation)
      FF HKU\S-1-5-21-220523388-1214440339-1177238915-500\...\Firefox\Extensions: [{C9BD4C68-D86F-71D3-5841-B16F1DEC93F6}] - C:\Program Files\BlockAndSurf-soft\173.xpi
      FF HKU\S-1-5-21-220523388-1214440339-1177238915-500\...\Firefox\Extensions: [{C84E2F89-F883-97B9-5382-1226EEEAD045}] - C:\Program Files\BlockAndSurfS\173.xpi
      CHR Extension: (BlockAndSurf) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\dijbcfomobdddpdojnddegfbelckhiij [2014-06-15]
      CHR Extension: (BlockAndSurf) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nelmphhjfpihlhcohejfomfpggbglchf [2014-06-16]
      Folder: C:\Documents and Settings\All Users\Application Data\Windows
      Reboot:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  7. #6
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Вот текст файла Readme.txt который создался на всех логических дисках

    "Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    B3B2B72AACCCAD26B8AE|0
    на электронный адрес deshifrovka01@gmail.com или deshifrovka@india.com .
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."

    Что именно находили Касперский и Др.Веб не помню, хотел же записать, но так и не сделал этого.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  9. #8
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Готово

    - - - - -Добавлено - - - - -

    Автор шифровальщика ответил на письмо, прикладываю во вложении, если это хоть как то поможет для будущего привлечения его к ответственности.
    Изображения Изображения
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Выполните скрипт в uVS:

    Код:
    ;uVS v3.85 [http://dsrt.dyndns.org]
    ;Target OS: NTv5.1
    v385c
    breg
    
    delall %SystemDrive%\PROGRAM FILES\BLOCKANDSURF-SOFT\173.DLL
    delall %SystemDrive%\PROGRAM FILES\BLOCKANDSURFS\173.DLL
    delall %SystemDrive%\PROGRAM FILES\GOFORFILES UPDATER\GFFUPDATER.EXE
    delall %SystemDrive%\PROGRAM FILES\V-BATES\PREFHELPER.EXE
    restart
    Компьютер перезагрузится. Без тела самого шифратора, думаю шансов у вас нет.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  11. #10
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Папка ZOO_ не появилась, появился только текстовый файл(прикреплю), а что больше ничего нельзя будет предпринять?
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    а что больше ничего нельзя будет предпринять?
    Без наличия самого шифратора непонятно каким алгоритмом шифрования были пошифрованы ваши файлы, а в некоторых случаях, чтобы сделать расшифровку нужен именно сам шифратор, которого скорее всего уже нет на этом компьютере.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  13. #12
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Без наличия самого шифратора непонятно каким алгоритмом шифрования были пошифрованы ваши файлы, а в некоторых случаях, чтобы сделать расшифровку нужен именно сам шифратор, которого скорее всего уже нет на этом компьютере.
    Так могу же с помощью программ восстановления данных что нибудь порыть, только знать бы что искать, может у него какое нибудь название есть?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Ищите. Подозрительные файлы можете загружать в zip архиве с паролем virus по красной ссылке вверху темы.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  15. #14
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Выложу логи сканирования eset smart security и dr web cureit, в первом случае я отсеял по дате, потому что началось все где то с вечера 26 числа, от доктора веба полный вчерашний лог сканирования. Может от туда можно найти что по делу? как то распознать что за троян был или что то подобное.
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Нужны следующие файлы:

    \Device\HarddiskVolume1\Documents and Settings\All Users\Application Data\Windows\csrss.exe - quarantined, reboot required
    C:\Documents and Settings\Admin\Local Settings\Temp\228.tmp - quarantined, reboot required
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  17. #16
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Файлы загрузил, добавил туда еще парочку подозрительных исполняемых файлов

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    csrss.exe - поврежден похоже.
    kldw.png - чистый.
    uninst_77858207.bat - чистый
    wmi64.exe - поврежден похоже
    228.png - чистый.
    wow_helper.exe - поврежден похоже
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  19. #18
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Цитата Сообщение от mike 1 Посмотреть сообщение
    csrss.exe - поврежден похоже.
    kldw.png - чистый.
    uninst_77858207.bat - чистый
    wmi64.exe - поврежден похоже
    228.png - чистый.
    wow_helper.exe - поврежден похоже
    и что теперь?

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,377
    Вес репутации
    1028
    Да ничего, с расшифровкой не поможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 45 дней => https://goo.gl/1yHAAg

  21. #20
    Junior Member Репутация
    Регистрация
    27.12.2014
    Сообщений
    28
    Вес репутации
    12
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Да ничего, с расшифровкой не поможем.
    У вас на форуме же есть платная расшифровка, это тоже не вариант?

  • Уважаемый(ая) Vladimir64, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 13.11.2014, 21:50
    2. Ответов: 2
      Последнее сообщение: 31.10.2014, 17:51
    3. Зашифровались файлы
      От djlens в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 20.08.2013, 19:27
    4. Зашифровались все файлы
      От Astal в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.10.2012, 13:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01492 seconds with 17 queries