• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена с расшифровкой. Шифровальщик

Статус
В этой теме нельзя размещать новые ответы.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-1843261234-3187083735-2314719309-1000 -> No Name - {4F524A2D-5350-4500-76A7-7A786E7484D7} -  No File
    Toolbar: HKU\S-1-5-21-1843261234-3187083735-2314719309-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Public\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Public\Downloads\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default\Downloads\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default\Documents\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default\Desktop\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default\AppData\Roaming\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default\AppData\Local\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default User\Downloads\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default User\Documents\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default User\Desktop\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default User\AppData\Roaming\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Default User\AppData\Local\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Boss\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Boss\Downloads\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Boss\Documents\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Boss\AppData\Roaming\Microsoft\Windows\Start Menu\README.txt
    2017-09-25 01:08 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Boss\AppData\Local\README.txt
    2017-09-25 01:07 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Все пользователи\README.txt
    2017-09-25 01:07 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Public\Documents\README.txt
    2017-09-25 01:07 - 2017-09-25 01:08 - 000000360 _____ C:\Users\Public\Desktop\README.txt
    2017-09-25 01:07 - 2017-09-25 01:08 - 000000360 _____ C:\ProgramData\README.txt
    2017-09-25 01:07 - 2017-09-25 01:08 - 000000360 _____ C:\ProgramData\Microsoft\Windows\Start Menu\README.txt
    2017-09-25 01:07 - 2017-09-25 01:07 - 000000360 _____ C:\Users\Boss\Desktop\README.txt
    2017-09-25 01:07 - 2017-09-25 01:07 - 000000360 _____ C:\Users\Boss\AppData\Roaming\README.txt
    HKU\S-1-5-21-1843261234-3187083735-2314719309-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
К сожалению восстановление к прежнему состоянию не помогло...
 
Вы по ссылке ходили? Там речь не о восстановлении самой системы.
 
Извините, поспешил. Сейчас похоже у меня и зашифрованные файлы и оригиналы. Зашифрованные можно вручную удалять?
 
Действуйте аккуратно и осторожно. Если уверены, что теневая копия успешно восстановилась, удаляйте.

На будущее:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
p.s.
Если хотите проверить остальные компьютеры, соберите на них логи по правилам по принципу - один компьютер, одна тема.
 
Действую в соответствии с Вашей инструкцией в п.22. Помогает потихонечку и за это вам ОГРОМНОЕ спасибо. Займет думаю не мало времени. Подскажите пожалуйста, как быть с остальными машинами?
 

Вложения

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17691 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2015-03-24 16:25:35
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.1.31139 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 26 ActiveX v.26.0.0.137 Внимание! Скачать обновления
Adobe Reader 9.3 - Russian v.9.3.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.60.0.3112.113 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Антивирус настройте по этой инструкции.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

как быть с остальными машинами?
Я уже написал :)
Если хотите проверить остальные компьютеры, соберите на них логи по правилам по принципу - один компьютер, одна тема.
 
Спасибо за рекомендации. Все сделаю как вы написали.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу