Решена Вирус "Школьник" зашифровал файлы, *Jpeg,*txt,*doc, *Pdf и тд.

[outbreac]

помогите найти прграмму для расшифровки файлов)

 

[Ботан]

Приветствую outbreac, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.​

__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:

• virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt

Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

***​

Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.

***​

Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!

__________________________________________________
С уважением, администрация SafeZone.​

 

[regist]

какое кодовое слово ?

Добавлено через 23 минуты 57 секунд
+ Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteAVUpdate;
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Users\NoteBook\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\просмотр.txt','');
 QuarantineFile('C:\Users\NoteBook\AppData\Local\winrar.exe','');
 DeleteFile('C:\Users\NoteBook\AppData\Local\winrar.exe','32');
 DeleteFile('C:\Users\NoteBook\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\просмотр.txt','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','winrar');
ExecuteSysClean;
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Сделайте лог HijackThis
Сделайте новые логи virusinfo_syscheck.zip; log.txt, info.txt.

+ перебирая разные декодеры вы только рискуете, что ваши файлы повредятся и их нельзя будет восстановить даже оригинальным декодером . Так что надеюсь кроме te19decrypt и XoristDecryptor вы больше ничем восстановить не пытались.

 

[thyrex]

+ папку C:\Program Files (x86)\РоссИнфоТех удалите

 

[outbreac]

новые логи

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

какое кодовое слово ?

??

 

[outbreac]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.



??

mur

Добавлено через 10 минут 26 секунд

 

[akok]

Образцы зашифрованных файлов дайте.

 

[outbreac]

Зашифрованные файлы

документ ворд , иксель и фото

 

[akok]

Удалось при помощи te102decrypt.exe восстановить .doc файлы, на этом все.

Добавлено через 1 минуту 15 секунд
Если есть лицензия антивируса drweb, то можете обратиться в вирлаб за помощью в расшифровке.

 

[outbreac]

102не разблокировал ни одного файла на компьютере

 

[thyrex]

Дешифратором для данной модификации пока никто не поделился