• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Вирус "Школьник" зашифровал файлы, *Jpeg,*txt,*doc, *Pdf и тд.

Статус
В этой теме нельзя размещать новые ответы.

outbreac

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
помогите найти прграмму для расшифровки файлов):confused::confused::confused:
 

Вложения

  • virusinfo_syscheck.zip
    31.5 KB · Просмотры: 0
  • virusinfo_syscure.zip
    31.4 KB · Просмотры: 1
  • log.txt
    95.1 KB · Просмотры: 3
  • info.txt
    18.4 KB · Просмотры: 1

Ботан

Злостный спам-бот
Сообщения
1,032
Реакции
129
Баллы
453
Приветствую outbreac, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
__________________________________________________
С уважением, администрация SafeZone.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,724
Реакции
6,012
Баллы
1,008
какое кодовое слово ?

Добавлено через 23 минуты 57 секунд
+ Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteAVUpdate;
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\NoteBook\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\просмотр.txt','');
 QuarantineFile('C:\Users\NoteBook\AppData\Local\winrar.exe','');
 DeleteFile('C:\Users\NoteBook\AppData\Local\winrar.exe','32');
 DeleteFile('C:\Users\NoteBook\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\просмотр.txt','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar');
ExecuteSysClean;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте лог HijackThis
Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ перебирая разные декодеры вы только рискуете, что ваши файлы повредятся и их нельзя будет восстановить даже оригинальным декодером ;). Так что надеюсь кроме te19decrypt и XoristDecryptor вы больше ничем восстановить не пытались.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
+ папку C:\Program Files (x86)\РоссИнфоТех удалите
 

outbreac

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
новые логи
 

Вложения

  • virusinfo_syscheck.zip
    31.3 KB · Просмотры: 0
  • virusinfo_syscure.zip
    31.3 KB · Просмотры: 1
  • hijackthis.log
    7.8 KB · Просмотры: 0
  • log.txt
    104.1 KB · Просмотры: 0
  • info.txt
    18.4 KB · Просмотры: 0

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.


какое кодовое слово ?
??
 

outbreac

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.



??
mur

Добавлено через 10 минут 26 секунд
 

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
Образцы зашифрованных файлов дайте.
 

outbreac

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
Зашифрованные файлы

документ ворд , иксель и фото
 

Вложения

  • trud_dog_образец.doc
    57.5 KB · Просмотры: 4
  • денежный магнит.rar
    167.4 KB · Просмотры: 3
  • БланкИ.rar
    18.9 KB · Просмотры: 3

akok

Команда форума
Администратор
Сообщения
19,518
Реакции
13,432
Баллы
2,203
Удалось при помощи te102decrypt.exe восстановить .doc файлы, на этом все.

Добавлено через 1 минуту 15 секунд
Если есть лицензия антивируса drweb, то можете обратиться в вирлаб за помощью в расшифровке.
 

outbreac

Активный пользователь
Сообщения
5
Реакции
0
Баллы
301
102не разблокировал ни одного файла на компьютере
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,859
Реакции
2,575
Баллы
593
Дешифратором для данной модификации пока никто не поделился
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу