Добрый день!
Поймал вирус-шифровальщик. Можно ли восстановить файлы?
Зашифрованные файлы: https://yadi.sk/d/QVHepjh1fcuEY
Добрый день!
Поймал вирус-шифровальщик. Можно ли восстановить файлы?
Зашифрованные файлы: https://yadi.sk/d/QVHepjh1fcuEY
Уважаемый(ая) chocolatier, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin QuarantineFile('C:\install\install\update.exe',''); QuarantineFile('C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\SystemDir\nethost.exe',''); QuarantineFile('C:\Documents and Settings\Зеленский Андрей\Главное меню\Программы\Автозагрузка\video_codec.exe',''); QuarantineFile('C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Microsoft\Adobe\Shockwave Player\shockwaveplayer.exe',''); DeleteService('Rerun service for advPlugin'); QuarantineFile('C:\DOCUME~1\DA66~1\LOCALS~1\Temp\advPlugin_restartonfail\InstallAfterRebootService0.exe',''); DeleteFile('C:\DOCUME~1\DA66~1\LOCALS~1\Temp\advPlugin_restartonfail\InstallAfterRebootService0.exe','32'); DeleteFile('C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Microsoft\Adobe\Shockwave Player\shockwaveplayer.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe Shockwave Player'); DeleteFile('C:\Documents and Settings\Зеленский Андрей\Главное меню\Программы\Автозагрузка\video_codec.exe','32'); DeleteFile('C:\WINDOWS\Tasks\BR.job','32'); DeleteFile('C:\WINDOWS\Tasks\JEPNHIMU.job','32'); DeleteFile('C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\SystemDir\nethost.exe','32'); DeleteFile('C:\WINDOWS\Tasks\nethost task.job','32'); DeleteFile('C:\install\install\update.exe','32'); ExecuteSysClean; ExecuteRepair(2); RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Карантин отправил. Логи прикрепил.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\Run: [] => [X] HKLM\...\Run: [progrmma] => C:\Program Files\xexe\info.exe HKLM\...\Run: [HKLM] => C:\install\install\update.exe [548864 2006-04-08] (dvgffghtrev) CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-2414289934-1683976933-795849038-1005 -> {70D46D94-BF1E-45ED-B567-48701376298E} URL = http://127.0.0.1:4664/search&s=topDOliyJ5FXe1hp3IFO7T6dKhc?q={searchTerms} Toolbar: HKU\S-1-5-21-2414289934-1683976933-795849038-1005 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File Toolbar: HKU\S-1-5-21-2414289934-1683976933-795849038-1005 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - No File CHR Extension: (SocialLife for Google Chrome™) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\baohinapilmkigilbbbcccncoljkdpnd [2015-02-05] CHR Extension: (No Name) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2015-01-19] CHR Extension: (SocialLife for Google Chrome™) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bhloflhklmhfpedakmangadcdofhnnoh [2015-01-20] CHR Extension: (No Name) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\defjbpbaeipkllhdmgjfbdefjnpoocga [2015-01-19] CHR Extension: (SocialLife for Google Chrome™) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\eignhdfgaldabilaaegmdfbajngjmoke [2015-02-09] CHR Extension: (No Name) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\flkdgmgdgnpdecpaaoggnbjcdmbnagbj [2015-01-19] CHR Extension: (SocialLife for Google Chrome™) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fnbdnhhicmebfgdgglcdacdapkcihcoh [2015-01-19] CHR Extension: (No Name) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2015-01-19] CHR Extension: (SocialLife for Google Chrome™) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd(2) [2015-01-16] CHR Extension: (Hey Girl) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jcpmmhaffdebnmkjelaohgjmndeongip [2015-01-19] CHR Extension: (No Name) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jedelkhanefmcnpappfhachbpnlhomai [2015-01-19] CHR Extension: (SocialLife for Google Chrome™) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kejbdjndbnbjgmefkgdddjlbokphdefk [2015-01-20] CHR Extension: (No Name) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-01-19] CHR Extension: (No Name) - C:\Documents and Settings\Зеленский Андрей\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pganlglbhgfjfgopijbhemcpbehjnpia [2015-01-19] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Documents and Settings\Зеленский Андрей\Application Data\Opera Software\Opera Stable\Extensions\baohinapilmkigilbbbcccncoljkdpnd [2015-02-05] OPR Extension: (SocialLife for Google Chrome™) - C:\Documents and Settings\Зеленский Андрей\Application Data\Opera Software\Opera Stable\Extensions\bhloflhklmhfpedakmangadcdofhnnoh [2015-01-20] OPR Extension: (No Name) - C:\Documents and Settings\Зеленский Андрей\Application Data\Opera Software\Opera Stable\Extensions\iphpmnjjkbneokidkdkcdfhlhlimhnfj [2015-01-28] Folder: C:\install Folder: C:\Program Files\xexe Folder: C:\Program Files\Адобе флеш видео 2015-01-28 15:48 - 2015-01-28 15:48 - 00000118 ____H () C:\Program Files\WelcomeToPunto.bat 2015-01-28 15:48 - 2015-01-28 15:48 - 00000117 ____H () C:\Program Files\layouts.bat 2015-01-28 15:48 - 2015-01-28 15:48 - 00000115 ____H () C:\Program Files\punto.bat 2015-01-28 15:48 - 2015-01-28 15:48 - 00000115 ____H () C:\Program Files\diary.bat 2015-01-28 15:48 - 2015-01-28 15:48 - 00000112 ____H () C:\Program Files\ps.bat 2015-01-28 15:48 - 2014-10-20 12:01 - 01584128 ____H (ООО Яндекс) C:\Program Files\puntо.bаt.exe 2015-01-28 15:48 - 2014-10-20 12:01 - 00284672 ____H (ООО Яндекс) C:\Program Files\diаry.bаt.exe 2015-01-28 15:48 - 2014-10-20 12:00 - 00027648 ____H (ООО Яндекс) C:\Program Files\lаyоuts.bаt.exe 2015-01-28 16:31 - 2015-02-02 10:10 - 00000000 ____D () C:\Program Files\0fc80cac-dd5e-4bad-b2d8-ffd3621e1fcd 2015-01-28 16:23 - 2015-02-02 10:10 - 00000000 ____D () C:\Program Files\13d4e755-77ae-41bc-9af4-43d2cf14252b 2015-01-28 16:23 - 2015-01-28 16:23 - 00000000 ____D () C:\Documents and Settings\Администратор.USER_4\Local Settings\Application Data\globalUpdate 2015-01-20 11:04 - 2015-02-09 09:17 - 00000000 _____ () C:\Documents and Settings\Зеленский Андрей\Application Data\smw_inst 2015-01-28 15:48 - 2015-01-28 15:48 - 0000115 ____H () C:\Program Files\diary.bat 2015-01-28 15:48 - 2014-10-20 12:01 - 0284672 ____H (ООО Яндекс) C:\Program Files\diаry.bаt.exe 2015-01-28 15:48 - 2015-01-28 15:48 - 0000117 ____H () C:\Program Files\layouts.bat 2015-01-28 15:48 - 2014-10-20 12:00 - 0027648 ____H (ООО Яндекс) C:\Program Files\lаyоuts.bаt.exe 2015-01-28 15:48 - 2015-01-28 15:48 - 0000112 ____H () C:\Program Files\ps.bat 2015-01-28 15:48 - 2015-01-28 15:48 - 0000115 ____H () C:\Program Files\punto.bat 2015-01-28 15:48 - 2014-10-20 12:01 - 1584128 ____H (ООО Яндекс) C:\Program Files\puntо.bаt.exe 2015-01-28 15:48 - 2015-01-28 15:48 - 0000118 ____H () C:\Program Files\WelcomeToPunto.bat- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполнил, прикрепил...
Пришлите карантин согласно Приложения 1 правил по красной ссылке Прислать запрошенный карантин вверху темыC:\install\install\update.exe
C:\Program Files\Адобе флеш видео\Флэш видео плеер\info.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Загрузил
Папки удаляйте. С расшифровкой не поможем.C:\install
C:\Program Files\xexe
C:\Program Files\Адобе флеш видео
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\зеленский андрей\главное меню\программы\автозагрузка\video_codec.exe - Trojan-Ransom.Win32.Cryakl.es ( AVAST4: Win32:Trojan-gen )
- c:\install\install\update.exe - Trojan-Ransom.Win32.Cryakl.es ( AVAST4: Win32:Trojan-gen )
- c:\program files\адобе флеш видео\флэш видео плеер\info.exe - Trojan-Ransom.Win32.Cryakl.es ( AVAST4: Win32:Trojan-gen )
Уважаемый(ая) chocolatier, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.