Здравствуйте!
Все файлы зашифрованы, к наименованиям добавлено +jabber-theone@safetyjabber.
Есть ли возможность восстановить файлы?
Здравствуйте!
Все файлы зашифрованы, к наименованиям добавлено +jabber-theone@safetyjabber.
Есть ли возможность восстановить файлы?
Последний раз редактировалось ОасупБЭМЗ; 12.08.2019 в 12:12.
Уважаемый(ая) ОасупБЭМЗ, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте Farbar Recovery Scan Tool [img=https://i.imgur.com/NAAC5Ba.png] и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/*]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
[img=https://i.imgur.com/3munStB.png]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отчет
заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.C:\Users\Администратор.SERVERX\AppData\Roaming\Mic rosoft\BM2\wincore.exe
C:\Users\Администратор.SERVERX\AppData\Roaming\SiS wnd4\scvhots.exe
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано.
SpyHunter4 удалите через Установку программ.
Пострадала только эта машина? Других пострадавших в сети машин нет?
Сами прописали в автозагрузку C:\Users\user59\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\События_очистить.cmd ?
1. Выделите следующий код:
2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).Код:Start:: CreateRestorePoint: File: C:\ProgramData\AMDCC\winamd.exe File: C:\Users\Администратор.SERVERX\xRdp.v2.1.exe Folder: C:\Users\Администратор.SERVERX\AppData\Roaming\WindowsServices Folder: C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4 Folder: C:\ProgramData\AMDCC C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2 Folder: C:\Program Files\D4 Folder: HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [AMDsys] => "C:\ProgramData\AMDCC\winamd.exe" HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [IBMsys] => C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2\wincore.exe [82944 2019-02-07] () [File not signed] HKU\S-1-5-21-3061189006-2134096714-2191716962-500\...\Run: [sheme33] => C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4\scvhots.exe [513024 2019-02-24] (Abcde1 Company) [File not signed] C:\Users\Администратор.SERVERX\AppData\Roaming\Microsoft\BM2\wincore.exe C:\Users\Администратор.SERVERX\AppData\Roaming\SiSwnd4\scvhots.exe AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [129] 2019-08-12 11:24 - 2019-08-12 11:50 - 000000000 ____D C:\Program Files\SpyHunter 2019-08-12 11:24 - 2019-08-12 11:24 - 000000733 _____ C:\Users\Public\Desktop\SpyHunter4.lnk 2019-08-12 11:24 - 2019-08-12 11:24 - 000000733 _____ C:\ProgramData\Desktop\SpyHunter4.lnk 2019-08-12 11:24 - 2019-08-12 11:24 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4 2019-08-11 12:12 - 2019-08-11 12:12 - 000000103 _____ C:\ProgramData\Microsoft\Windows\Start Menu\INSTRUCTION.txt 2019-08-11 12:11 - 2019-08-11 12:12 - 000000103 _____ C:\Users\Public\Desktop\INSTRUCTION.txt 2019-08-11 12:11 - 2019-08-11 12:12 - 000000103 _____ C:\ProgramData\Desktop\INSTRUCTION.txt 2019-08-11 12:11 - 2019-08-11 12:11 - 000000103 _____ C:\ProgramData\INSTRUCTION.txt End::
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: перезагрузку компьютера нужно выполнить вручную после этого скрипта.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
>Пострадала только эта машина? Других пострадавших в сети машин нет?
Других пострадавших нет.
>Сами прописали в автозагрузку C:\Users\user59\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup\События_очистить.cmd ?
Нет. Это было сделано очень давно, кем - неизвестно.
В данный момент я читаю форум не с пострадавшего компьютера (он не имеет доступа в Интернет). Следует ли мне скопировать текст скрипта и перенести его на пострадавший в текстовом файле?
Тогда при переносе нужно сохранить скрипт в файл fixlist.txt и поместить в папку с FRST. После этого запустить FRST.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделано
Подскажите пожалуйста, можем ли мы на данном этапе перенести зашифрованные файлы на другой носитель и переустановить Windows на пострадавшем компьютере, чтобы хоть как-то продолжать работу?
Переносите. Без файла с ключами, который не удается отловить во всех последних случаях, расшифровка невозможна.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Есть смысл пытаться связываться со злоумышленниками?
И да, есть несколько файлов до и после зашифровки. Они не помогут?
Не помогут. Связываться или нет со злодеями решать Вам.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Есть ли надежда, что средство расшифровки появится в будущем (иными словами, есть ли смысл хранить файлы)?
Мы бы заплатили вымогателям, но связаться с ними не удаётся.
Сомнительно, что оно появится. Повторяю еще раз - все дело в файле с ключами, который не удается отловить. Длина ключей может быть разной. А так алгоритм известен еще со времен самой первой версии.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Что из себя этот файл представляет и где он теоретически должен быть? Можно ли его как-то вручную найти?
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
- =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
- =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 8
- =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
- \scvhots.exe - HEUR:Trojan.Win32.Netrepser.gen ( BitDefend=
er: Gen:Trojan.Heur2.RP.Fq0@a0hD@Qli )- \wincore.exe - UDS:Trojan.Win32.Generic ( BitDefender: Gen=
:Heur.PIF.1 )
Уважаемый(ая) ОасупБЭМЗ, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.