• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Help me! WannaCash почти всё похавал

dxxxb

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Приветствую! Спасите ещё одного любителя халявных ключей от нод32
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,116
Реакции
13,629
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    FirewallRules: [{09834D0D-DDB7-41DF-BA00-01CE2E1D6D04}] => (Allow) C:\Users\Picassi Bieno\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{8AB4E709-5C31-430E-972A-D69E0D39AC35}] => (Allow) C:\Users\Picassi Bieno\AppData\Local\MediaGet2\mediaget.exe No File
    FirewallRules: [{EE69FB39-C4D5-4649-8F6F-5E6A70818990}] => (Allow) D:\Program Files\Nox\bin\Nox.exe No File
    FirewallRules: [{CDD2E4FC-1A11-4596-BBAF-13E6F316BF01}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe No File
    FirewallRules: [{E3C73E34-4671-41ED-8CFB-7DA15530D7B4}] => (Allow) %systemroot%\system32\alg.exe No File
    FirewallRules: [{92C7424C-8B4E-4BD1-8EE5-4F3A3A910987}] => (Allow) %systemroot%\system32\alg.exe No File
    FirewallRules: [{B497799D-BB10-4AC7-B9EE-5DC8827A8655}] => (Allow) %systemroot%\system32\alg.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.



По поводу расшифровки подождите ответа @thyrex
 

dxxxb

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
немного затупил и первый раз фикснул без прав, второй от администратора - его и отправляю (надеюсь ни на что не повлияет)
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,116
Реакции
13,629
Баллы
2,203
  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать").
  • По окончанию сканирования снимите галочки со следующих строк:
    Код:
    Preinstalled.ASUSSmartGesture   Folder   C:\Program Files (x86)\ASUS\ASUS SMART GESTURE 
    Preinstalled.ASUSSmartGesture   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A2870B56-E3F0-46BF-9AA5-05860DB37010}  
    Preinstalled.ASUSSmartGesture   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS Smart Gesture Launcher 
    Preinstalled.ASUSSmartGesture   Registry   HKLM\Software\Classes\CLSID\{F31B5912-07D6-4895-B4BA-5486CF3B18B1} 
    Preinstalled.ASUSSmartGesture   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{4D3286A6-F6AB-498A-82A4-E4F040529F3D} 
    Preinstalled.ASUSSmartGesture   Task   C:\Windows\System32\Tasks\ASUS SMART GESTURE LAUNCHER
  • нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

dxxxb

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Извиняюсь, у меня нет таких строк, не туда смотрю?
дошло) их раскрыть можно
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,116
Реакции
13,629
Баллы
2,203
Раскрывайте пункты меню (нажав на стрелочку).
 

dxxxb

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
В отчете я вижу строки, а вот где галочки с них снимать, не пойму
Точнее в отчете Logs я вижу то, что вы мне отправили, а в ADW (после сканирования) нет таких строк
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
18,116
Реакции
13,629
Баллы
2,203
Замазал зеленым
1575935598202.png

Первый снимет галку с группы, а второй с конкретной записи. Остальное уже сегодня днем продолжим.
 

dxxxb

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Да это понятно. Только ADW не показывает строки с которых галки убрать.
Item detected - есть
preinstalled software elements detected - в списке нет
пробовал перезагружать. Версия 8.0.0
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,695
Реакции
1,884
Баллы
563
Теперь наберитесь терпения и некоторое время подождите.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,781
Реакции
2,548
Баллы
593
Проверьте ЛС
 

dxxxb

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Респект вам, уважуха и низкий поклон. Спасибо огромное за помощь!
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,695
Реакции
1,884
Баллы
563
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 2.11.4.0 v.2.11.4.0 Внимание! Скачать обновления
QuickTime Alternative 3.2.2 v.3.2.2 Данная программа больше не поддерживается разработчиком.
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45395 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
Shareman, версия 102.3.78.218 v.102.3.78.218 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
---------------------------- [ UnwantedApps ] -----------------------------
Advanced SystemCare v.13.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО
 

dxxxb

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Вообще хочу жесткий почистить, винду переустановить
Advanced SystemCarе - им вообще лучше не пользоваться или мне подделка попалась?
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,695
Реакции
1,884
Баллы
563
Advanced SystemCarе - им вообще лучше не пользоваться
Им и всем остальным от IObit. А также им подобным "чистильщикам" и "улучшателям/ускорятелям".
В системе для этих целей есть всё необходимое, которое корректно и успешно с этим справляется.
 
Сверху Снизу