Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Последствия шифровальщика (http://forum.oszone.net/showthread.php?t=328344)

madmaxmc 14-07-2017 15:08 2751387
Последствия шифровальщика
 
Вложений: 1
Здравствуйте, принес друг системач с зашифрованными данными после расширений файлов было еще одно расширение 707, запустил утилиту от касперского для расшифровки данных rectordecryptor расширения исчезли, а вот программы не открываются. Кроме шифратора была еще куча вирусов. В общем, помогите кто чем может побороть эту хрень(извиняюсь за выражение). Лог прикладываю.

madmaxmc 15-07-2017 08:08 2751522
Вложений: 2
Вчера забыл выложить логи сканирования антивирусов kaspersky rescue disk 10 и Nod32. Может эти логи подскажут что за вирус у меня вообще зашифровал файлы. ScanObject.txt от касперского, 123 архив от Nod32

madmaxmc 15-07-2017 11:23 2751548
Аууууу, люди есть кто дома? Я понимаю что вы мне ничего не должны, но если не хотите заниматься моей проблемой, то напишите, буду искать другие варианты. Компьютер принес друг,но он с работы и там много важных документов, которые им нужны.

Sandor 17-07-2017 10:33 2751933
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
Mobogenie
rollApp File Opener version 1.2.0
Search Protect
Амиго
Кнопка "Яндекс" на панели задач
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Users\admin\vrcwlgrk.exe', '');
 DeleteFile('C:\Users\admin\vrcwlgrk.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

madmaxmc 17-07-2017 15:44 2752006
Вложений: 2
Здравствуйте, спасибо, что ответили. К сожалению Амиго и Кнопка "Яндекс" на панели задач удалить через панель управления не удалось. Поэтому возможно скрипт выполнялся с ошибками. quarantine.zip отправил, логи прикладываю

Sandor 17-07-2017 15:48 2752007
Цитата:
Цитата madmaxmc
Амиго и Кнопка "Яндекс" на панели задач удалить через панель управления не удалось »
Удалите принудительно через Revo Uninstall

Затем:
1.
  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

madmaxmc 17-07-2017 15:54 2752011
У меня не открывается ваша ссылка на Revo Uninstall какую версию скачать, что бы я поискал в другом месте

Sandor 17-07-2017 15:56 2752012
Пробуйте этот https://geekuninstaller.com/geek.zip

madmaxmc 17-07-2017 16:29 2752020
Вложений: 4
Спасибо, эта программка удалила, правда только через принудительное удаление. Логи прикладываю. Shortcut.txt оказался слишком большим поэтому в архиве

Sandor 17-07-2017 16:36 2752023
Цитата:
C:\Users\Default\Desktop\инфо.txt
это записка с требованием выкупа?
Если да, ее и пару зашифрованных файлов упакуйте и прикрепите к следующему сообщению.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    AVG PC TuneUp 2015 (en-US) (HKLM\...\{4AC74ED1-719B-46DA-8B8A-340FBF892291}) (Version: 15.0.1001.518 - AVG Technologies) Hidden
    AlternateDataStreams: C:\Users\admin\Local Settings:init [8656776]
    AlternateDataStreams: C:\Users\admin\AppData\Local:init [8656776]
    AlternateDataStreams: C:\Users\admin\AppData\Local\Application Data:init [8656776]
    FirewallRules: [TCP Query User{AEE8EEF8-1105-4176-9290-8C3A6EC5B1BF}C:\program files\mobogenie3\mobogeniehelper.exe] => (Block) C:\program files\mobogenie3\mobogeniehelper.exe
    FirewallRules: [UDP Query User{B7D8423A-DF88-481B-8F71-81002E0A097B}C:\program files\mobogenie3\mobogeniehelper.exe] => (Block) C:\program files\mobogenie3\mobogeniehelper.exe
    FirewallRules: [TCP Query User{9E427F0C-8904-469B-A236-A971E15697FC}C:\program files\mobogenie3\mobogeniehelper.exe] => (Block) C:\program files\mobogenie3\mobogeniehelper.exe
    FirewallRules: [UDP Query User{A6132FDD-7948-4F01-8415-3CB944708E18}C:\program files\mobogenie3\mobogeniehelper.exe] => (Block) C:\program files\mobogenie3\mobogeniehelper.exe
    FirewallRules: [{BA3A1FC3-B1B4-4CBD-8C93-A147EF63A1E8}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
    FirewallRules: [{CC95BA6F-DDB5-4B8D-945F-B95A09C3489B}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
    FirewallRules: [{8D712B7E-9FA1-4DA9-BA75-BD1CE75890F0}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
    FirewallRules: [{C8FB7CDF-C87E-48AA-9FED-DC91698F466E}] => (Allow) C:\Program Files\Mobogenie3\mobogenieP2sp.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появится AVG PC TuneUp 2015 (en-US). Деинсталлируйте.

madmaxmc 17-07-2017 16:40 2752024
Я открыл инфо.txt там только какие-то иероглифы( Возможно не она,но скину на всякий случай

madmaxmc 17-07-2017 16:59 2752027
Вложений: 2
Выполнил перечисленные действия, кроме "В перечне установленных программ появится AVG PC TuneUp 2015 (en-US). Деинсталлируйте." Кнопка деинсталлировать не активна на панеле управления. Или ее тоже через geek удалить?

Sandor 17-07-2017 17:05 2752032
Цитата:
Цитата madmaxmc
Возможно не она »
Либо повреждена.

К сожалению, после манипуляций из первого сообщения определить тип вымогателя не представляется возможным.

madmaxmc 17-07-2017 17:08 2752033
А есть ли программки для восстановления таких файлов, как удаленных типа R-Studio может смогут восстановить предыдущую версию?

madmaxmc 17-07-2017 17:38 2752039
А с системой поможете восстановить или это уже невозможно?

madmaxmc 17-07-2017 17:59 2752043
Вложений: 1
Случайно увидел на диске C может это что подскажет

madmaxmc 17-07-2017 18:08 2752045
Вложений: 1
Восстановил несколько файлов с расширением которое было 707

Sandor 17-07-2017 19:29 2752059
Цитата:
Цитата madmaxmc
А с системой поможете восстановить или это уже невозможно? »
Система в порядке.

Какое-то время подождите, подключу коллег.

madmaxmc 17-07-2017 19:58 2752067
система у меня не в порядке, почти ничего не открывается, только блокнот, хром, смд и виндоус медиа плэер. А такие приложения как офис например не запускаются выскакивает смд-окошко на долю секунды и все, дальше ничего не происходит. Есть подозрения что этот вирус Petya, а он систему тоже повреждает. (((

Sandor 17-07-2017 20:24 2752078
С расшифровкой обрадовать нечем. Похоже на GlobeImposter 2.0, от которого пока таблетки нет и "восстановленные" файлы забиты мусором.

Цитата:
Цитата madmaxmc
как офис например не запускаются »
Переустановить офис не пробовали?

С какими еще программами трудности?

madmaxmc 17-07-2017 20:50 2752086
пробовал, правда раньше, до выполнения скриптов. С очень многими и стандартные windows в том числе теже игры например, Nero, winrar и т.д. Такое ощущение, что какие-то исполняемые файлы виндоуса не работают или работают неправильно.

Sandor 18-07-2017 08:24 2752177
Попробуем исправить системные файлы:
  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
  3. Введите sfc /scannow и нажмите Энтер.
  4. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
  5. После того как закончится проверка в командной строке введите команду:
    Код:
    findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
  6. После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

madmaxmc 18-07-2017 09:35 2752200
Вложений: 1
Файл слишком большое в архив упаковал. Вроде выполнилось восстановление системы, но с ошибками вроде.

Sandor 18-07-2017 09:48 2752209
Восстановление работоспособности предлагаю продолжить в более подходящей ветке форума.

madmaxmc 18-07-2017 10:16 2752216
Хорошо, спасибо за помощь и терпение.

Sandor 18-07-2017 10:17 2752218
В завершение по нашей части:
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.


Время: 22:48.

Время: 22:48.
© OSzone.net 2001-