Решена Файлы зашифрованы (.wncry)

Тема в разделе "Помощь в расшифровке файлов", создана пользователем Vladimir21, 14 ноя 2017.

  1. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Здравствуйте!
    Зашифрованы все .doc, .xls, и .jpg
    Всем файлам добавилось расширение .wncry
    Помогите пожалуйста расшифровать!
    Логи прикрепил.
     

    Вложения:

  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса в расшифровке и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.711
    Симпатии:
    1.292
    Здравствуйте!

    Через Панель управления - Удаление программ - удалите нежелательное ПО:
    • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
    • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.


    Поищите пару: зашифрованный и его не зашифрованный оригинал. Ищите второй среди резервных копий, в почте, на других ПК и т.п. Размер файлов должен почти совпадать.
     
  4. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Вот отчет и пара файлов в архиве
     

    Вложения:

  5. akok

    akok Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    13.770
    Симпатии:
    14.965
    - Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
     
  6. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Удалил все кроме mail
    Отчет приложил
     

    Вложения:

  7. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.711
    Симпатии:
    1.292
    Отчет об очистке содержит символ [Cx], а не [Sx] (x - цифра).

    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 14 ноя 2017
  8. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Вот отчеты
     

    Вложения:

    • Addition.txt
      Размер файла:
      45,6 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      36,5 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      99,6 КБ
      Просмотров:
      1
  9. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.711
    Симпатии:
    1.292
    Отчета очистки AdwCleaner по-прежнему нет :)

    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код (Text):
      Start::
      CreateRestorePoint:
      HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: E - E:\SISetup.exe
      HKU\S-1-5-21-306808497-1370905628-3767074221-1001\...\MountPoints2: {1542292c-4c1b-11e3-a8b7-6466b3031828} - F:\AutoRun.exe {D2D77DC2-8299-11D1-8949-444553540000} 5.2066.1.A14B03 PID_0083 {01D42BF0-ED08-463f-8A28-99EB6FEE962B}
      HKU\S-1-5-18\...\Run: [Advanced SystemCare 9] => "C:\Program Files\IObit\Advanced SystemCare\ASCTray.exe" /Auto
      SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
      SearchScopes: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms}
      Toolbar: HKU\S-1-5-21-306808497-1370905628-3767074221-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
      FF DefaultSearchEngine: Mozilla\Firefox\Profiles\1pvp851r.default-1490074736492 -> Поиск@Mail.Ru
      2017-11-12 04:05 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Инструкции по восстановлению.TXT
      2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\Users\Все пользователи\Инструкции по восстановлению.TXT
      2017-11-12 01:30 - 2017-11-12 01:30 - 000006535 _____ C:\ProgramData\Инструкции по восстановлению.TXT
      2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\vladmih\Инструкции по восстановлению.TXT
      2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Инструкции по восстановлению.TXT
      2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Downloads\Инструкции по восстановлению.TXT
      2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Public\Documents\Инструкции по восстановлению.TXT
      2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\Default\Инструкции по восстановлению.TXT
      2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Инструкции по восстановлению.TXT
      2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Downloads\Инструкции по восстановлению.TXT
      2017-11-12 01:29 - 2017-11-12 01:29 - 000006535 _____ C:\Users\buh3\Documents\Инструкции по восстановлению.TXT
      2017-11-12 01:26 - 2017-11-12 04:05 - 000006535 _____ C:\Users\buh10\Desktop\Инструкции по восстановлению.TXT
      2017-11-12 01:26 - 2017-11-12 01:26 - 000006535 _____ C:\Users\buh3\Desktop\Инструкции по восстановлению.TXT
      2017-11-12 01:25 - 2017-11-12 01:25 - 000006535 _____ C:\Инструкции по восстановлению.TXT
      2017-11-14 15:49 - 2013-10-29 15:31 - 000000000 ____D C:\Program Files\IObit
      2017-11-14 15:44 - 2016-06-07 16:32 - 000000000 ____D C:\Program Files\Common Files\IObit
      2017-11-14 15:44 - 2016-04-04 05:55 - 000000000 ____D C:\IObit
      2017-11-14 15:44 - 2015-01-16 08:33 - 000000000 ____D C:\Users\buh10\AppData\Roaming\IObit
      2017-11-14 15:44 - 2014-09-09 15:35 - 000000000 ____D C:\Users\vladmih\AppData\Roaming\IObit
      2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\Все пользователи\IObit
      2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\Roaming\IObit
      2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\Users\buh3\AppData\LocalLow\IObit
      2017-11-14 15:44 - 2013-10-29 15:31 - 000000000 ____D C:\ProgramData\IObit
      ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
      ContextMenuHandlers1: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
      ContextMenuHandlers6: [SmartDefragExtension] -> {189F1E63-33A7-404B-B2F6-8C76A452CC54} => C:\Windows\system32\IObitSmartDefragExtension.dll -> No File
      Task: {50D08997-D46D-4ECF-A647-B5C3B705F29F} - System32\Tasks\Driver Booster SkipUAC (buh3) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
      Task: {D745007A-E809-4F95-8F1A-4876D52F54B6} - System32\Tasks\Driver Booster SkipUAC (vladmih) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe
      FirewallRules: [{905D4061-B32C-4D91-B898-1947386FFEC8}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
      FirewallRules: [{E704D119-5023-41D6-A878-6219E7A213DA}] => (Allow) C:\Program Files\IObit\Driver Booster\DriverBooster.exe
      FirewallRules: [{A9175FCC-605E-4837-B6AB-D72229C36A8D}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
      FirewallRules: [{16C53621-3D80-4853-ACAF-EA3C9AB2580B}] => (Allow) C:\Program Files\IObit\Driver Booster\DBDownloader.exe
      FirewallRules: [{F359F50C-B0E5-40FC-9C5A-83C74E261451}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
      FirewallRules: [{99C9FB5B-2A24-4CC0-9830-0A52A8FD74E1}] => (Allow) C:\Program Files\IObit\Driver Booster\AutoUpdate.exe
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Подробнее читайте в этом руководстве.
     
  10. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Все сделал, файл прикрепил. Антивирусник удалил совсем, пока.
    По AdwCleaner вот все отчеты которые были созданы, может я что-то не так сделал
    вот нужный файл
     

    Вложения:

  11. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.711
    Симпатии:
    1.292
    Проверьте личные сообщения.
     
  12. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Расшифровал Рабочий стол, все отлично! Поставил на расшифровку сразу диск, процесс идет.
    ОГРОМНОЕ СПАСИБО!
     
  13. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.711
    Симпатии:
    1.292
    По завершении проделайте финальные шаги:
    1.
    • Пожалуйста, запустите adwcleaner.exe
    • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
    • Подтвердите удаление, нажав кнопку: Да.

    Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

    2.
    • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
     
  14. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Все отлично! Вот лог.
    Остался один вопрос. Такое у меня произошло второй раз. Первый раз в прошлом году в это же время. Здесь нет закономерности? Может сидит где-то скрипт и активизируется раз в год? Как это можно проверить?
     

    Вложения:

  15. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.711
    Симпатии:
    1.292
    Если бы это так было, мы бы Вас не отпустили :)

    А вот на что следует обратить внимание:

    ------------------------------- [ Windows ] -------------------------------
    Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Контроль учётных записей пользователя отключен (Уровень 1)
    ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
    Дата установки обновлений: 2016-04-02 06:35:52
    --------------------------- [ FirewallWindows ] ---------------------------
    Брандмауэр Windows (MpsSvc) - Служба работает
    Отключен общий профиль Брандмауэра Windows
    Отключен частный профиль Брандмауэра Windows

    --------------------------- [ OtherUtilities ] ----------------------------
    TeamViewer 12 v.12.0.83369 Внимание! Скачать обновления
    -------------------------------- [ Java ] ---------------------------------
    Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
    ---------------------------- [ UnwantedApps ] -----------------------------
    Спутник@Mail.Ru v.2.4.1.209 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


    Прочтите и выполните Рекомендации после удаления вредоносного ПО
     
    Кирилл нравится это.
  16. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Все понял. Еще один вопрос по семейству программ IObit. Вы назвали их нежелательными. С чем это связано и чем, в таком случае, лучше всего пользоваться?
     
  17. Sandor

    Sandor Ассоциация VN/VIP

    Сообщения:
    3.711
    Симпатии:
    1.292
    Это связано с тем, что чаще всего эти и подобные им программы идут "в нагрузку" с чем-нибудь еще.
    В подавляющем большинстве случаев для всех тех целей, для чего они предназначены, достаточно стандартных программ, входящих в состав операционной системы. К тому же стандартные, в отличие от тех, работают корректно.
     
    Кирилл нравится это.
  18. Vladimir21

    Vladimir21 Новый пользователь

    Сообщения:
    23
    Симпатии:
    0
    Понятно. Еще раз ОГРОМНОЕ СПАСИБО!
     
Загрузка...
Похожие темы - Файлы зашифрованы wncry
  1. automir14
    Ответов:
    5
    Просмотров:
    297
  2. OrdOrd
    Ответов:
    1
    Просмотров:
    304
  3. Андрей Быков
    Ответов:
    2
    Просмотров:
    444
  4. Podkop
    Ответов:
    1
    Просмотров:
    407
  5. 7-Wolf
    Ответов:
    9
    Просмотров:
    666
  6. mku020
    Ответов:
    17
    Просмотров:
    1.270

Поделиться этой страницей

Загрузка...