• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена без расшифровки id-EAAFF879.[decrypthelp@qq.com].arrow

Lunik

Практикант
Сообщения
328
Симпатии
54
#1
Зашифровало файлы, как он попал люди не сознаются.
Есть ли возможность расшифровки. Спасибо
Сообщения объединены:

DrWebTrojan.Encoder.3953 нашел файлик исполняемый
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Сообщения
4,356
Симпатии
1,541
#4
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-EAAFF879.[decrypthelp@qq.com].arrow
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1task.exe [backup] = C:\Windows\pss\1task.exe.CommonStartup (2018/04/28) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Nadejda^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1task.exe [backup] = C:\Windows\pss\1task.exe.Startup (2018/04/28) (file missing)
O4 - MSConfig\startupreg: 1task.exe [command] = C:\Users\Nadejda\AppData\Roaming\1task.exe  (file missing) (HKLM) (2018/04/28)
O22 - Task: {749EBFE3-9A08-482F-99E6-FC576A06023C} - C:\Windows\system32\pcalua.exe -a "E:\TuneUp Utilities 2009 8.0.1100 Rus\TuneUp Utilities 2009 (Русский).exe.exe" -d "E:\TuneUp Utilities 2009 8.0.1100 Rus"
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
14,983
Симпатии
12,258
#6
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-3659596815-3252145837-2968998876-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
    AlternateDataStreams: C:\Users\Nadejda:id [32]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Судя по всему помочь в расшифровке не получится. Разве, что попробовать ShadowExplorer или программами для восстановления данных вернуть часть файлов. Шанс конечно мизерный, но попробовать стоит.
 

Lunik

Практикант
Сообщения
328
Симпатии
54
#7
Так как компьютер уже отсутствует. Скрипт не могу выполнить. ShadowExplorer Не поможет так как все Теневые копии затерты.
Благо Пользователь оказался заподозрив неладное выдернул шнур питание) потери составили 10% всего и то не особо важных файлов.
Тему можно закрыть Спасибо за помощь.
 
Сверху Снизу