Решена без расшифровки id-EAAFF879.[decrypthelp@qq.com].arrow

Статус
В этой теме нельзя размещать новые ответы.

Lunik

Активный пользователь
Сообщения
486
Реакции
110
Баллы
103
Зашифровало файлы, как он попал люди не сознаются.
Есть ли возможность расшифровки. Спасибо
Post automatically merged:

DrWebTrojan.Encoder.3953 нашел файлик исполняемый
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,640
Реакции
1,713
Баллы
433
Здравствуйте!

Пока соберите логи по правилам: https://safezone.cc/decryption-rules/
Выкладывайте только то, что требует консультант.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,640
Реакции
1,713
Баллы
433
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini.id-EAAFF879.[decrypthelp@qq.com].arrow
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^1task.exe [backup] = C:\Windows\pss\1task.exe.CommonStartup (2018/04/28) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Nadejda^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^1task.exe [backup] = C:\Windows\pss\1task.exe.Startup (2018/04/28) (file missing)
O4 - MSConfig\startupreg: 1task.exe [command] = C:\Users\Nadejda\AppData\Roaming\1task.exe  (file missing) (HKLM) (2018/04/28)
O22 - Task: {749EBFE3-9A08-482F-99E6-FC576A06023C} - C:\Windows\system32\pcalua.exe -a "E:\TuneUp Utilities 2009 8.0.1100 Rus\TuneUp Utilities 2009 (Русский).exe.exe" -d "E:\TuneUp Utilities 2009 8.0.1100 Rus"
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
16,232
Реакции
12,923
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-3659596815-3252145837-2968998876-1000 -> No Name - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  No File
    AlternateDataStreams: C:\Users\Nadejda:id [32]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Судя по всему помочь в расшифровке не получится. Разве, что попробовать ShadowExplorer или программами для восстановления данных вернуть часть файлов. Шанс конечно мизерный, но попробовать стоит.
 

Lunik

Активный пользователь
Сообщения
486
Реакции
110
Баллы
103
Так как компьютер уже отсутствует. Скрипт не могу выполнить. ShadowExplorer Не поможет так как все Теневые копии затерты.
Благо Пользователь оказался заподозрив неладное выдернул шнур питание) потери составили 10% всего и то не особо важных файлов.
Тему можно закрыть Спасибо за помощь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу