• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Help me! WannaCash почти всё похавал

Статус
В этой теме нельзя размещать новые ответы.

dxxxb

Новый пользователь
Сообщения
9
Реакции
0
Приветствую! Спасите ещё одного любителя халявных ключей от нод32
 

Вложения

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    FirewallRules: [{09834D0D-DDB7-41DF-BA00-01CE2E1D6D04}] => (Allow) C:\Users\Picassi Bieno\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{8AB4E709-5C31-430E-972A-D69E0D39AC35}] => (Allow) C:\Users\Picassi Bieno\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{EE69FB39-C4D5-4649-8F6F-5E6A70818990}] => (Allow) D:\Program Files\Nox\bin\Nox.exe No File
    FirewallRules: [{CDD2E4FC-1A11-4596-BBAF-13E6F316BF01}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe No File
    FirewallRules: [{E3C73E34-4671-41ED-8CFB-7DA15530D7B4}] => (Allow) %systemroot%\system32\alg.exe No File
    FirewallRules: [{92C7424C-8B4E-4BD1-8EE5-4F3A3A910987}] => (Allow) %systemroot%\system32\alg.exe No File
    FirewallRules: [{B497799D-BB10-4AC7-B9EE-5DC8827A8655}] => (Allow) %systemroot%\system32\alg.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.



По поводу расшифровки подождите ответа @thyrex
 
немного затупил и первый раз фикснул без прав, второй от администратора - его и отправляю (надеюсь ни на что не повлияет)
 

Вложения

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Preinstalled.ASUSSmartGesture   Folder   C:\Program Files (x86)\ASUS\ASUS SMART GESTURE 
    Preinstalled.ASUSSmartGesture   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A2870B56-E3F0-46BF-9AA5-05860DB37010}  
    Preinstalled.ASUSSmartGesture   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS Smart Gesture Launcher 
    Preinstalled.ASUSSmartGesture   Registry   HKLM\Software\Classes\CLSID\{F31B5912-07D6-4895-B4BA-5486CF3B18B1} 
    Preinstalled.ASUSSmartGesture   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{4D3286A6-F6AB-498A-82A4-E4F040529F3D} 
    Preinstalled.ASUSSmartGesture   Task   C:\Windows\System32\Tasks\ASUS SMART GESTURE LAUNCHER
  • нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
Извиняюсь, у меня нет таких строк, не туда смотрю?
дошло) их раскрыть можно
 

Вложения

  • ADW.webp
    ADW.webp
    33.7 KB · Просмотры: 111
Раскрывайте пункты меню (нажав на стрелочку).
 
В отчете я вижу строки, а вот где галочки с них снимать, не пойму
Точнее в отчете Logs я вижу то, что вы мне отправили, а в ADW (после сканирования) нет таких строк
 

Вложения

  • ADW2.webp
    ADW2.webp
    70.5 KB · Просмотры: 109
Последнее редактирование:
Замазал зеленым
1575935598202.png


Первый снимет галку с группы, а второй с конкретной записи. Остальное уже сегодня днем продолжим.
 
Да это понятно. Только ADW не показывает строки с которых галки убрать.
Item detected - есть
preinstalled software elements detected - в списке нет
пробовал перезагружать. Версия 8.0.0
 
Теперь наберитесь терпения и некоторое время подождите.
 
Респект вам, уважуха и низкий поклон. Спасибо огромное за помощь!
 
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 2.11.4.0 v.2.11.4.0 Внимание! Скачать обновления
QuickTime Alternative 3.2.2 v.3.2.2 Данная программа больше не поддерживается разработчиком.
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45395 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
Shareman, версия 102.3.78.218 v.102.3.78.218 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
---------------------------- [ UnwantedApps ] -----------------------------
Advanced SystemCare v.13.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО
 
Вообще хочу жесткий почистить, винду переустановить
Advanced SystemCarе - им вообще лучше не пользоваться или мне подделка попалась?
 
Advanced SystemCarе - им вообще лучше не пользоваться
Им и всем остальным от IObit. А также им подобным "чистильщикам" и "улучшателям/ускорятелям".
В системе для этих целей есть всё необходимое, которое корректно и успешно с этим справляется.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу