• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Файлы зашифрованы (.wncry)

Статус
В этой теме нельзя размещать новые ответы.

Vladimir21

Новый пользователь
Сообщения
32
Реакции
1
Здравствуйте!
Зашифрованы все .doc, .xls, и .jpg
Всем файлам добавилось расширение .wncry
Помогите пожалуйста расшифровать!
Логи прикрепил.
 

Вложения

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Advanced SystemCare 9
Driver Booster 3.3
IObit Malware Fighter 4
IObit Uninstaller
Smart Defrag 3

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Поищите пару: зашифрованный и его не зашифрованный оригинал. Ищите второй среди резервных копий, в почте, на других ПК и т.п. Размер файлов должен почти совпадать.
 
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:


  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


Поищите пару: зашифрованный и его не зашифрованный оригинал. Ищите второй среди резервных копий, в почте, на других ПК и т.п. Размер файлов должен почти совпадать.

Вот отчет и пара файлов в архиве
 

Вложения

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
 

Вложения

Отчет об очистке содержит символ [Cx], а не [Sx] (x - цифра).

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Отчет об очистке содержит символ [Cx], а не [Sx] (x - цифра).

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Вот отчеты
 

Вложения

Отчета очистки AdwCleaner по-прежнему нет :)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: E - E:\SISetup.exe
    HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: {1542292c-4c1b-11e3-a8b7-6466b3031828} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A14B03 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
    HKU\S-1-5-18\...\Run: [Advanced SystemCare 9] => "C:\Program Files\IObit\Advanced SystemCare\ASCTray.exe" /Auto
    SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
    SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
    Toolbar: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\1pvp851r.default-1490074736492 -> Поиск@Mail.Ru
    2017-11-12 04:05 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Инструкции по восстановлению.TXT
    2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\Users\Все пользователи\Инструкции по восстановлению.TXT
    2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\ProgramData\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\vladmih\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Downloads\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Documents\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Default\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Downloads\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Documents\Инструкции по восстановлению.TXT
    2017-11-12 01:26 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Desktop\Инструкции по восстановлению.TXT
    2017-11-12 01:26 - 2017-11-12 01:26 - 000006535 _____ C:\Users\buh3\Desktop\Инструкции по восстановлению.TXT
    2017-11-12 01:25 - 2017-11-12 01:25 - 000006535 _____ C:\Инструкции по восстановлению.TXT
    2017-11-14 15:49 - 2013-10-29 15:31 - 000000000 ____D C:\Program Files\IObit
    2017-11-14 15:44 - 2016-06-07 16:32 - 000000000 ____D C:\Program Files\Common Files\IObit
    2017-11-14 15:44 - 2016-04-04 05:55 - 000000000 ____D C:\IObit
    2017-11-14 15:44 - 2015-01-16 08:33 - 000000000 ____D C:\Users\buh10\AppData\Roaming\IObit
    2017-11-14 15:44 - 2014-09-09 15:35 - 000000000 ____D C:\Users\vladmih\AppData\Roaming\IObit
    2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\Все пользователи\IObit
    2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\Roaming\IObit
    2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\LocalLow\IObit
    2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\ProgramData\IObit
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
    ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
    Task: {50D08997-D46D-4ECF-A647-B5C3B705F29F} - System32\Tasks\Driver Booster SkipUAC (buh3) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    Task: {D745007A-E809-4F95-8F1A-4876D52F54B6} - System32\Tasks\Driver Booster SkipUAC (vladmih) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    FirewallRules: [{905D4061-B32C-4D91-B898-1947386FFEC8}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    FirewallRules: [{E704D119-5023-41D6-A878-6219E7A213DA}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    FirewallRules: [{A9175FCC-605E-4837-B6AB-D72229C36A8D}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
    FirewallRules: [{16C53621-3D80-4853-ACAF-EA3C9AB2580B}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
    FirewallRules: [{F359F50C-B0E5-40FC-9C5A-83C74E261451}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
    FirewallRules: [{99C9FB5B-2A24-4CC0-9830-0A52A8FD74E1}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Отчета очистки AdwCleaner по-прежнему нет :)

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: E - E:\SISetup.exe
    HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: {1542292c-4c1b-11e3-a8b7-6466b3031828} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A14B03 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
    HKU\S-1-5-18\...\Run: [Advanced SystemCare 9] => "C:\Program Files\IObit\Advanced SystemCare\ASCTray.exe" /Auto
    SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
    SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
    Toolbar: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
    FF DefaultSearchEngine: Mozilla\Firefox\Profiles\1pvp851r.default-1490074736492 -> Поиск@Mail.Ru
    2017-11-12 04:05 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Инструкции по восстановлению.TXT
    2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\Users\Все пользователи\Инструкции по восстановлению.TXT
    2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\ProgramData\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\vladmih\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Downloads\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Documents\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Default\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Downloads\Инструкции по восстановлению.TXT
    2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Documents\Инструкции по восстановлению.TXT
    2017-11-12 01:26 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Desktop\Инструкции по восстановлению.TXT
    2017-11-12 01:26 - 2017-11-12 01:26 - 000006535 _____ C:\Users\buh3\Desktop\Инструкции по восстановлению.TXT
    2017-11-12 01:25 - 2017-11-12 01:25 - 000006535 _____ C:\Инструкции по восстановлению.TXT
    2017-11-14 15:49 - 2013-10-29 15:31 - 000000000 ____D C:\Program Files\IObit
    2017-11-14 15:44 - 2016-06-07 16:32 - 000000000 ____D C:\Program Files\Common Files\IObit
    2017-11-14 15:44 - 2016-04-04 05:55 - 000000000 ____D C:\IObit
    2017-11-14 15:44 - 2015-01-16 08:33 - 000000000 ____D C:\Users\buh10\AppData\Roaming\IObit
    2017-11-14 15:44 - 2014-09-09 15:35 - 000000000 ____D C:\Users\vladmih\AppData\Roaming\IObit
    2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\Все пользователи\IObit
    2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\Roaming\IObit
    2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\LocalLow\IObit
    2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\ProgramData\IObit
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
    ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
    Task: {50D08997-D46D-4ECF-A647-B5C3B705F29F} - System32\Tasks\Driver Booster SkipUAC (buh3) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    Task: {D745007A-E809-4F95-8F1A-4876D52F54B6} - System32\Tasks\Driver Booster SkipUAC (vladmih) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    FirewallRules: [{905D4061-B32C-4D91-B898-1947386FFEC8}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    FirewallRules: [{E704D119-5023-41D6-A878-6219E7A213DA}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
    FirewallRules: [{A9175FCC-605E-4837-B6AB-D72229C36A8D}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
    FirewallRules: [{16C53621-3D80-4853-ACAF-EA3C9AB2580B}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
    FirewallRules: [{F359F50C-B0E5-40FC-9C5A-83C74E261451}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
    FirewallRules: [{99C9FB5B-2A24-4CC0-9830-0A52A8FD74E1}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Все сделал, файл прикрепил. Антивирусник удалил совсем, пока.
По AdwCleaner вот все отчеты которые были созданы, может я что-то не так сделал
вот нужный файл
 

Вложения

Проверьте личные сообщения.
 
Расшифровал Рабочий стол, все отлично! Поставил на расшифровку сразу диск, процесс идет.
ОГРОМНОЕ СПАСИБО!
 
По завершении проделайте финальные шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
По завершении проделайте финальные шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Все отлично! Вот лог.
Остался один вопрос. Такое у меня произошло второй раз. Первый раз в прошлом году в это же время. Здесь нет закономерности? Может сидит где-то скрипт и активизируется раз в год? Как это можно проверить?
 

Вложения

Может сидит где-то скрипт и активизируется раз в год?
Если бы это так было, мы бы Вас не отпустили :)

А вот на что следует обратить внимание:

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Дата установки обновлений: 2016-04-02 06:35:52
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer 12 v.12.0.83369 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Спутник@Mail.Ru v.2.4.1.209 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Прочтите и выполните Рекомендации после удаления вредоносного ПО
 
Все понял. Еще один вопрос по семейству программ IObit. Вы назвали их нежелательными. С чем это связано и чем, в таком случае, лучше всего пользоваться?
 
Это связано с тем, что чаще всего эти и подобные им программы идут "в нагрузку" с чем-нибудь еще.
В подавляющем большинстве случаев для всех тех целей, для чего они предназначены, достаточно стандартных программ, входящих в состав операционной системы. К тому же стандартные, в отличие от тех, работают корректно.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу