Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

Добрый день. Получил письмо, думал поставщики по ошибке отправили, такое случалось. Оказался вирус, зашифровал файлы формата docx, xlsx, jpg, pdf. Соответственно эти файлы не открываются. Во вложении сам файл и архив после сканирования.

 

CollectionLog-2017.01.11-17.35.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

"Пофиксите" в HijackThis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = C:\Program Files\i2p\scripts\i2pProxy.pac
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 0C:\Program Files\i2p\scripts\i2pProxy.pac

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
AutoConfigURL: [S-1-5-21-699453313-3146615548-1461102757-1001] => C:\Program Files\i2p\scripts\i2pProxy.pac
ManualProxies: 0C:\Program Files\i2p\scripts\i2pProxy.pac
C:\Users\User\AppData\Local\Temp\4a0f17b9936.exe
C:\Users\User\AppData\Local\Temp\exereader.exe
C:\Users\User\AppData\Local\Temp\mini_installer_new.exe
HKU\S-1-5-21-699453313-3146615548-1461102757-1001\...\ChromeHTML: ->  <==== ATTENTION
AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
Reboot:
end


и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Мы пока удаляли следы.

Постарайтесь найти пару зашифрованный/не зашифрованный. Если найдете, упакуйте и прикрепите к следующему сообщению, вместе с файлом ключа и (если есть) текстом вымогателей.

Ссылка на комментарий
Поделиться на другие сайты

Письмо пришло видимо с целью навредить. Никакого банера или текста об оплате нет. Не совсем понял что значит найти пару зашифрованный/не зашифрованны. В момент открытия вируса был открыт документ docx, он  не зашифровался. Его отправить и любой другой того же формата? Теперь Касперский нашел троянскую программу Trojan-Ransom.JS.Agent.dy. Что можно ещё предпринять?

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, srednij сказал:

Не совсем понял что значит найти пару

К примеру, есть зашифрованный файл "образец.doc" (вероятно с другим расширением) и есть в другом месте (на флэшке, на другом ПК и т.п.) такой же файл, но не зашифрованный.

Ссылка на комментарий
Поделиться на другие сайты

12 минуты назад, srednij сказал:

Вставляется только незашифрованный

Упакуйте оба с паролем на архив.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sandor сказал:

вместе с файлом ключа

Один из этих файлов:

Цитата

C:\Users\User\Desktop\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

C:\Users\User\AppData\Roaming\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

C:\RUD2A-35XRE-HXTHX-EETXE-HXTHX-TOOXZ-OXTXR-EXYYY.KEY

тоже, пожалуйста, прикрепите.

И наберитесь терпения, обещать пока ничего не буду.

Ссылка на комментарий
Поделиться на другие сайты

Вынужден Вас огорчить, это новый шифровальщик Spora. Инструментов по расшифровке пока не предвидится.

Если повезет, пробуйте восстановить файлы средствами Windows.

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...