• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена без расшифровки Помощь в расшифровке CRYAKL 1.5.1.0

c:\users\igor\appdata\local\cryptoplugin\nmcryptoplugin.exe - ваше?

1. Нужно несколько зашифрованных файлов в архиве (небольших)
2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
+
Всевозможные программы удалённого управления вам известны?
(судя по логам, их в системе несколько).
 
c:\users\igor\appdata\local\cryptoplugin\nmcryptoplugin.exe - ваше? - наше, для банкинга

1. Нужно несколько зашифрованных файлов в архиве (небольших)
2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • pdf_orgiginal&crypted.rar
    41.1 KB · Просмотры: 1
  • crypted_pdf .rar
    2 MB · Просмотры: 2
  • Addition.txt
    53 KB · Просмотры: 1
  • FRST.txt
    61.9 KB · Просмотры: 1
\\tsclient\G\ru4ka.exe - файл существует?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-07 02:49 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User8\Desktop\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\Downloads\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\Documents\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\Desktop\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\AppData\Roaming\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\AppData\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\AppData\LocalLow\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\User2\AppData\Local\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Public\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Public\Downloads\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default\Downloads\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default\Documents\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default\Desktop\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default User\Documents\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 01:47 - 2019-06-07 01:49 - 000001279 _____ C:\ProgramData\README.txt
    2019-06-07 01:42 - 2019-06-07 01:50 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-07 01:42 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Public\Documents\README.txt
    2019-06-07 01:42 - 2019-06-07 01:45 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    AlternateDataStreams: C:\ProgramData\TEMP:6DEA77C2 [254]
    AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Ждите ответа @thyrex
 
\\tsclient\G\ru4ka.exe - файл существует?
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-06-07 02:49 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User8\Desktop\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\Downloads\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\Documents\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\Desktop\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\AppData\Roaming\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\AppData\README.txt
    2019-06-07 01:57 - 2019-06-07 01:57 - 000000082 _____ C:\Users\User2\AppData\LocalLow\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\User2\AppData\Local\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Public\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Public\Downloads\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default\Downloads\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default\Documents\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default\Desktop\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default User\Downloads\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default User\Documents\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default User\Desktop\README.txt
    2019-06-07 01:50 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2019-06-07 01:47 - 2019-06-07 01:49 - 000001279 _____ C:\ProgramData\README.txt
    2019-06-07 01:42 - 2019-06-07 01:50 - 000001279 _____ C:\Users\Public\Documents\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    2019-06-07 01:42 - 2019-06-07 01:50 - 000000082 _____ C:\Users\Public\Documents\README.txt
    2019-06-07 01:42 - 2019-06-07 01:45 - 000001279 _____ C:\ProgramData\email-nightmare666@cock.li.ver-CL 1.5.1.0.id-.fname-README.txt.doubleoffset
    AlternateDataStreams: C:\ProgramData\TEMP:6DEA77C2 [254]
    AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

  • Fixlog.txt
    5.6 KB · Просмотры: 1
Исправьте по возможности
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.1.54.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 11.4.0 Full v.11.4.0 Внимание! Скачать обновления
TeamViewer 14 v.14.2.8352 Внимание! Скачать обновления
Microsoft Office Access database engine 2007 (English) v.12.0.4518.1031 Данная программа больше не поддерживается разработчиком.
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.18 v.7.18.112 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.18.4.1.871 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.74.0.3729.169 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 48.0.2 (x86 ru) v.48.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
FileViewPro v.1.3.2.20 Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
WinThruster v.1.31.0 << Скрыта Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Менеджер браузеров v.3.0.7.830 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
C:\Program Files (x86)\Solvusoft\Tray\SolvusoftTray.exe v.4.0.278.0

По последнему блоку, если не используете, то деинсталлируйте.
 
Увы, расшифровки нет.
 
@igorLo, постарайтесь найти пару - зашифрованный и его не зашифрованный оригинал размером не менее 256 байт (ищите такой в бэкапах, в почте, на других ПК и т.д.). Упакуйте в архив и прикрепите к следующему сообщению.
Тип файла предпочтительно офисный документ или картинка.
 
Назад
Сверху Снизу