• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. ПомогитеПожалуйста спасти фотографии от вируса шифровальщика !Decrypt-All-Files-iyrcdhb

Статус
В этой теме нельзя размещать новые ответы.

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
Добрый день ,всем мира и добра..Загрузился вирус в компьютер с изображением на рабочем столе ..Нод 32 удалял его. По инфо от нода я нашел вроде загрузчик и удалил ( думаю так так как окно в рамке с таймером исчезло).После этого обнаружил ,что все файлы текстовые и фото ЗАШИФРОВАЛИСЬ и ничем не могут открыться..К названию каждоГО фото , после JPG везде теперь стоит iyrcdhb..Основной полный вид зараженного фото P1010282.JPG.iyrcdhb...Пригласил знающего человека .он кое-что попробовал ,и посоветовал написать ВАм..Сейчас сделаю логи..БОЮСЬ МОГУ НЕ СПРАВИТСЯ С ЛОГАМИ...Прошу помощи..Жалко все старые фото с женой..жаль если не сможем их расшифровать
 
Последнее редактирование:

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
вот прикладываю архив с логами..
 

Вложения

  • CollectionLog-2016.03.27-15.29.zip
    64.3 KB · Просмотры: 2

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
Ответ доктор вэба.
Здравствуйте!

Файлы зашифрованы Trojan.Encoder.686
Расшифровка нашими силами невозможна.

Единственный способ восстановления данных - из резервных копий, если они имеются.

Дополнительную информацию о троянцах семейства Encoder см. на Dr.Web — Троянцы-шифровальщики — Encoder (Cryptolocker).
Дополнительно рекомендуем изучить курс DWCERT-070-6 «Защита рабочих станций и файловых серверов Windows от действий программ-шифровальщиков»:Антивирус Dr.Web — Обучение и сертификация.

С уважением, Людмила Теплова,
служба технической поддержки компании "Доктор Веб"..................получается так все глухо........???
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Евгений Рад, у вас точки восстановления имеются?
Даже если сейчас расшифровать не удастся - сохраните зашифрованные файлы,мир на месте не стоит,возможно в будущем появится возможность расшифровать.

Заражение активно.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\windows\system32\shost.exe');
  QuarantineFile('C:\WINDOWS\svchost.exe', '');
  QuarantineFile('C:\WINDOWS\TEMP\lojbjdj.exe', '');
  QuarantineFile('c:\windows\system32\spoolupdater.dll', '');
  QuarantineFile('c:\windows\system32\shost.exe', '');
  DeleteFile('c:\windows\system32\spoolupdater.dll', '32');
  DeleteFile('C:\WINDOWS\system32\shost.exe', '32');
  DeleteFile('C:\WINDOWS\Tasks\smmaqpj.job', '32');
  DeleteFile('C:\WINDOWS\TEMP\lojbjdj.exe', '32');
  DeleteService('nxbtcepin');
   ExecuteFile('schtasks.exe', '/delete /TN "smmaqpj" /F', 0, 15000, true);
   RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\SpoolUpdater\Parameters', 'ServiceDll');
   RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Net Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Смените сетевые пароли и от электронной почты.

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите новый лог.


Ознакомьтесь с темой:

Мой компьютер заражен вирусом, я хочу обратиться в полицию (для жителей России)
 

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
Доброе утро ,я правильно понимаю ,мне надо делать манипуляции с АВЗ ( скрипт ),в том случае ,если компьютер заражен еще и тело находится на нем???А если ничего больше не происходит,то просто ждать времени ,когда эти файлы смогут расшифровать?..А с помощью моих логов во втором посту ничем помочь не получится???
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Доброе утро ,я правильно понимаю ,мне надо делать манипуляции с АВЗ ( скрипт ),в том случае ,если компьютер заражен еще и тело находится на нем???А если ничего больше не происходит,то просто ждать времени ,когда эти файлы смогут расшифровать?..А с помощью моих логов во втором посту ничем помочь не получится???
У вас вирус до сих пор в системе,мы его удаляем скриптом avz.

Если ничего не делать-то вирус сам не уйдет.
Про точки восстановления вы не ответили.
 

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
пробовал создать точки .. фотографии не востановились..С аВЗ БУДУ ДЕЛАТЬ..Точки создавал сам ,так как из-за малого к-ва памяти на диске С,точек не было... Пришлось самому искуственно делать но не помогло.А если я буду в блежайшее время переустанавливать систему ...Может это поможет вирус удалить и скрипт делать ненадо?????
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Ознакомьтесь:
Восстановление потерянных или удаленных файлов

А если я буду в блежайшее время переустанавливать систему ...Может это поможет вирус удалить и скрипт делать ненадо?????

Ну гарантировано вам могу подтвердить удаление вируса при переустановке только в том случае,если вы при этом произведете полное форматирование с уничтожением всех данных.
Иначе рискуете вместе с перенесенными файлами и сам вирус перенести.

Дело лично ваше,хотите - лечитесь у нас,хотите - поступайте иначе.
Это вы к нам обратились,а не наоборот.
Нужна помощь - делайте логи.
Не нужна - не делайте.
 

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
Пробовал сделать скрипт файл- выполнить скрипт( выдает ошибку ) какой файл вводить .. там есть варианты загрузитьь и сохранить.Я так понимаю надо какой-то файл вводить под скрипт??иначе загорается кнопка ошибка в позиции.
 
Последнее редактирование:

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
какой файл вводить .. там есть варианты загрузитьь и сохранить.Я так понимаю надо какой-то файл вводить под скрипт??иначе загорается кнопка ошибка в позиции.
Нужно нажать правой кнопкой мыши и выбрать "вставить".
В инструкции все предельно ясно написано,читайте внимательнее.
Если при этом возникает ошибка - значит неправильно скопировали скрипт.
 
Последнее редактирование:

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
Добрый день,все сделал отправил ..quarantine.zip
Еще заметил одну вещь..Именно когда при перезагрузке системы комп загружаеться..На несколько секунд видно большое красное окно и в нем на черном фоне ,большими англ буквами видно надпись или MISSIN или NISSIN( как будто остатки какого-то вируса )..Я проследил путь и вижу этот файл..ЧТО СНИМ ДЕЛАТЬ???? вот он C:\WINDOWS\system32\spool\PerfCPL|services.exe
 

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
-----
вот сделал
 

Вложения

  • CollectionLog-2016.05.11-19.20.zip
    68.5 KB · Просмотры: 2
Последнее редактирование:

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Создайте точку восстановления!


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\spool\perfcpl\services.exe');
 QuarantineFile('c:\windows\system32\spool\perfcpl\services.exe', '');
 DeleteFile('c:\windows\system32\spool\perfcpl\services.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
 DeleteService('LocalConnectMng');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

По личным вопросам пишите ко мне на почту:



так мне только это сделать???
или это ОПЯТЬ ТОЖЕ???Только что недавно делал ...Каким лучше числом датой делать ТОЧКУ ВОСТАНОВЛЕНИЯ????

Новое
Создайте точку восстановления!


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код (Text):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\spool\perfcpl\services.exe');
QuarantineFile('c:\windows\system32\spool\perfcpl\services.exe', '');
DeleteFile('c:\windows\system32\spool\perfcpl\services.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
DeleteService('LocalConnectMng');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код (Text):
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181

Вложения

  • CollectionLog-2016.05.20-09.43.zip
    42.5 KB · Просмотры: 1
  • Addition.txt
    18.5 KB · Просмотры: 1
  • FRST.txt
    41.9 KB · Просмотры: 2
  • Shortcut.txt
    45.7 KB · Просмотры: 1
Последнее редактирование модератором:

Кирилл

Команда форума
Администратор
Ассоциация VN
Сообщения
14,229
Реакции
6,253
Баллы
1,093
Создайте новую точку восстановления!


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
  begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
   QuarantineFile('C:\WINDOWS\svchost.exe', '');
   QuarantineFile('c:\windows\system32\tos.dll', '');
   DeleteFile('C:\WINDOWS\system32\tos.dll', '32');
   DeleteFile('c:\windows\svchost.exe', '32');
   DeleteService('HostSvc');
  RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\TOS\Parameters', 'ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".



Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
BHO: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-2025429265-1960408961-1801674531-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
S4 HostSvc; c:\windows\svchost.exe [2316754 2015-12-24] () [File not signed]
R2 TOS; C:\WINDOWS\system32\tos.dll [340480 2016-04-12] () [File not signed]
2015-10-22 19:26 - 2015-10-22 19:50 - 0004608 _____ () C:\Documents and Settings\Евгений\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2016-03-26 17:49 - 2016-03-26 23:06 - 0260860 _____ () C:\Documents and Settings\All Users\Application Data\ghhjonn.html
C:\Windows\svchost.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:

Евгений Рад

Активный пользователь
Сообщения
21
Реакции
0
Баллы
181
не сделал
http://safezone.cc/threads/kak-vypolnit-skript-v-farbar-recovery-scan-tool.17760/
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код (Text):
start
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
BHO: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-2025429265-1960408961-1801674531-1003 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
S4 HostSvc; c:\windows\svchost.exe [2316754 2015-12-24] () [File not signed]
R2 TOS; C:\WINDOWS\system32\tos.dll [340480 2016-04-12] () [File not signed]
2015-10-22 19:26 - 2015-10-22 19:50 - 0004608 _____ () C:\Documents and Settings\Евгений\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
2016-03-26 17:49 - 2016-03-26 23:06 - 0260860 _____ () C:\Documents and Settings\All Users\Application Data\ghhjonn.html
C:\Windows\svchost.exe
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
сколько пунктов отсюда надо делать???
там 14 пунктов
http://safezone.cc/threads/kak-vypolnit-skript-v-farbar-recovery-scan-tool.17760/
остальное на почту отправил
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу