большая часть файлов на компьютере зашифрована прошу помочь избавиться от этой заразы
большая часть файлов на компьютере зашифрована прошу помочь избавиться от этой заразы
Уважаемый(ая) KolyvanOFF_ON, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Users\samsung\AppData\Roaming\Microsoft\sys32\minerd_qv2.2_sse4.exe'); TerminateProcessByName('c:\users\samsung\appdata\roaming\microsoft\windows\start menu\programs\startup\driver.exe'); TerminateProcessByName('c:\users\samsung\appdata\roaming\microsoft\sys32\drive.exe'); TerminateProcessByName('c:\windows\syswow64\mjcm\dnkt.exe'); QuarantineFile('C:\ProgramData\Local Settings\Temp\mstnzfhl.pif',''); QuarantineFile('C:\Users\samsung\hlcgiptd.exe',''); QuarantineFile('C:\Users\samsung\Desktop\DNS_Save.scr',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\driver.exe',''); QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\mstnzfhl.pif',''); QuarantineFile('C:\Users\samsung\AppData\Roaming\Microsoft\sys32\minerd_qv2.2_sse4.exe',''); QuarantineFile('c:\users\samsung\appdata\roaming\microsoft\windows\start menu\programs\startup\driver.exe',''); QuarantineFile('c:\users\samsung\appdata\roaming\microsoft\sys32\drive.exe',''); QuarantineFile('c:\windows\syswow64\mjcm\dnkt.exe',''); QuarantineFileF('c:\users\samsung\appdata\roaming\microsoft\sys32\','*.exe, *.dll', true,'',0 ,0); DeleteFile('c:\users\samsung\appdata\roaming\microsoft\windows\start menu\programs\startup\driver.exe','32'); DeleteFile('C:\Users\samsung\AppData\Roaming\Microsoft\sys32\minerd_qv2.2_sse4.exe','32'); DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\mstnzfhl.pif','32'); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\driver.exe','32'); DeleteFile('C:\Users\samsung\hlcgiptd.exe','32'); DeleteFile('C:\ProgramData\Local Settings\Temp\mstnzfhl.pif','32'); DeleteFile('C:\Users\samsung\appdata\roaming\microsoft\sys32\drive.exe','32'); DelBHO('{EEE6C35B-6118-11DC-9C72-001320C79847}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','13652'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driver'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
вот новые результаты сканирования
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\syswow64\mjcm\dnkt.exe'); TerminateProcessByName('C:\Windows\System32\tprb\dnkt.exe'); TerminateProcessByName('C:\Windows\System32\dmwu.exe'); QuarantineFile('C:\Users\samsung\Desktop\DNS_Save.scr',''); QuarantineFile('C:\Users\samsung\hlcgiptd.exe',''); QuarantineFile('C:\Users\samsung\AppData\Roaming\Microsoft\sys32\driver.exe',''); QuarantineFile('C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp',''); QuarantineFile('C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\057426ce.exe',''); QuarantineFile('C:\PROGRA~3\LOCALS~1\Temp\mstnzfhl.pif',''); QuarantineFile('c:\windows\syswow64\mjcm\dnkt.exe',''); QuarantineFile('C:\Windows\System32\tprb\dnkt.exe',''); QuarantineFile('C:\Windows\System32\dmwu.exe',''); QuarantineFileF('C:\Windows\System32\tprb','*.exe, *.dll', true,'',0 ,0); QuarantineFileF('c:\windows\syswow64\mjcm','*.exe, *.dll', true,'',0 ,0); DeleteFile('C:\PROGRA~3\LOCALS~1\Temp\mstnzfhl.pif','32'); DeleteFile('C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\057426ce.exe','32'); DeleteFile('C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp','32'); DeleteFile('C:\Users\samsung\AppData\Roaming\Microsoft\sys32\driver.exe','32'); DeleteFile('C:\Users\samsung\hlcgiptd.exe','32'); DeleteFile('C:\Users\samsung\Desktop\DNS_Save.scr','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','13652'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; BC_DeleteFile('C:\Windows\System32\tprb\dnkt.exe'); BC_DeleteFile('c:\windows\syswow64\mjcm\dnkt.exe'); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
где ссылка?
- Удалите в AdwCleaner всё кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Лог после удаления прикрепите.
Сделайте полный образ автозапуска uVS только программу скачайте отсюда
не совсем понял, мне скрипт AVZ заново запустить?
http://virusinfo.info/showthread.php?t=162889 ссылка на карантин
Вам нужно выполнить скрипт в AVZ из 5 сообщения.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
еще раз? я же приложил ссылку
Последний раз редактировалось KolyvanOFF_ON; 10.07.2014 в 15:30.
еще раз продублирую
http://virusinfo.info/showthread.php?t=162889 ссылка на карантин
1) Карантин quarantine.zip надо присылать по красной ссылке Прислать запрошенный карантин вверху темы
2) Через ту форму надо загружать результат выполнения скрипта №83)остальное сейчас посмотрю.полученный архив virusinfo_auto_имя_вашего_ПК.zip
- - - Добавлено - - -
Выполните скрипт в uVS и пришлите карантин
сделайте новый образ автозапуска.Код:;uVS v3.83 BETA 2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 BREG zoo %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\057426CE.EXE delall %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\057426CE.EXE delref %SystemDrive%\USERS\SAMSUNG\APPDATA\LOCAL\TEMP\CABD.TMP.EXE delref %SystemDrive%\USERS\SAMSUNG\DESKTOP\DNS_SAVE.SCR delref %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32\DRIVER.EXE delref %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32\DRIVER.EXE dirzooex %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32 delref %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32\ELEVATE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE zoo %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32\LIBCURL-4.DLL delall %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32\LIBCURL-4.DLL delall %SystemDrive%\PROGRA~3\LOCALS~1\TEMP\MSTNZFHL.PIF deltmp czoo restart
карантин из UVS прикрепил, а образ выложить не могу так как место для прикрепляемых файлов в этой теме закончилось
загрузите сюда http://rghost.ru/ и напишите в посте ссылку на скачивание.
выложил вот ссылка http://rghost.ru/56834098
Выполните скрипт в uVS
сделайте новый образ автозапускаКод:;uVS v3.83 BETA 4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 BREG zoo %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32\ELEVATE.EXE delall %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32\ELEVATE.EXE deldir %SystemDrive%\USERS\SAMSUNG\APPDATA\ROAMING\MICROSOFT\SYS32 czoo restart
Последний раз редактировалось regist; 11.07.2014 в 10:47.
http://rghost.ru/56834942 новый образ
Последний раз редактировалось KolyvanOFF_ON; 11.07.2014 в 11:15.
Картинку зашифрованную в архиве пришлите.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\local settings\temp\mstnzfhl.pif - Backdoor.Win32.Androm.emxr ( DrWEB: BackDoor.Andromeda.22, BitDefender: Trojan.GenericKD.1728536, AVAST4: Win32:Trojan-gen )
- c:\programdata\microsoft\windows\start menu\programs\startup\driver.exe - Trojan.BAT.BitCoinMiner.as ( DrWEB: Trojan.BtcMine.372, BitDefender: Trojan.Generic.11421430 )
- c:\progra~3\locals~1\temp\mstnzfhl.pif - Backdoor.Win32.Androm.emxr ( DrWEB: BackDoor.Andromeda.22, BitDefender: Trojan.GenericKD.1728536, AVAST4: Win32:Trojan-gen )
- c:\users\samsung\appdata\roaming\microsoft\sys32\d rive.exe - Trojan.BAT.Miner.by ( DrWEB: Trojan.BtcMine.525, BitDefender: Trojan.Generic.11307067 )
- c:\users\samsung\appdata\roaming\microsoft\sys32\m inerd_qv2.2_sse4.exe - Trojan.Win64.BitMin.c ( BitDefender: Trojan.Generic.11144178 )
- c:\users\samsung\appdata\roaming\microsoft\windows \start menu\programs\startup\driver.exe - Trojan.BAT.BitCoinMiner.as ( DrWEB: Trojan.BtcMine.372, BitDefender: Trojan.Generic.11421430 )
- c:\users\samsung\hlcgiptd.exe - Trojan.Win32.VB.cnwd ( AVAST4: Win32:VB-AIMG [Trj] )
- c:\windows\syswow64\mjcm\dnkt.exe - not-a-virus:WebToolbar.Win32.Perinet.d
Уважаемый(ая) KolyvanOFF_ON, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.