Показано с 1 по 12 из 12.

Ваши файлы были зашифрованы. [email protected] или [email protected] [HEUR:Trojan.Win32.Generic, Trojan.Win32.Diple.ginl ] (заявка № 192381)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    05.11.2015
    Сообщений
    6
    Вес репутации
    31

    Ваши файлы были зашифрованы. [email protected] или [email protected] [HEUR:Trojan.Win32.Generic, Trojan.Win32.Diple.ginl ]

    Доброго времени суток!
    Нужна помощь профессионалов в лечении компьютера от вредоносного ПО, и в расшифровке файлов.

    Система Windows 7 x86 Ultimate SP1. Компьютер - участник домена на предприятии.

    Компьютер был заражен из-под учетки пользователя домена при открытии прикрепленного файла .scr из электронного письма.
    Само письмо сохранено на случай необходимости передать болячку (первоисточник) на исследование.
    Зашифрованы были все фотографии, музыка, видео и файлы MSOffice (.jpg, .mp3, .avi, .doc(x), .xls(x))
    На рабочий стол установился фоновый рисунок с красным текстом на черном фоне с сообщением о шифровании файлов и отсылкой к README файлам следующего содержания. (данные файлы располагаются в корне каждого из локальных дисков и на Рабочем столе):

    Ваши файлы были зашифрованы.
    Чтобы расшифровать их, Вам необходимо отправить код:
    20849AAF4CC34B90AED9|0
    на электронный адрес [email protected] или [email protected] .
    Далее вы получите все необходимые инструкции.
    Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.




    All the important files on your computer were encrypted.
    To decrypt the files you should send the following code:
    20849AAF4CC34B90AED9|0
    to e-mail address [email protected] or [email protected] .
    Then you will receive all necessary instructions.
    All the attempts of decryption by yourself will result only in irrevocable loss of your data.
    З.Ы. Если нужно, могу прислать зараженный файл-первоисточник, зашифрованные файлы.
    З.З.Ы. Выдержка из логфайла CureIT:
    -----------------------------------------------------------------------------
    Start scanning
    -----------------------------------------------------------------------------
    Command line used:-rpcep:\pipe\176D7478E -rpcpr:np


    Limit the use of the computer resources to 100%
    Instances used for this session: 6
    Object(s) to scan:
    - D:\-=Distr=-\_111111111\_Quarantine




    D:\-=Distr=-\_111111111\_Quarantine\031115scan.scr - infected with Trojan.Inject2.8204
    >D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz is GZIP archive
    D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz - Ok
    D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz - archive
    D:\-=Distr=-\_111111111\_Quarantine\9221249docs.gz: Zone.Identifier - Ok
    D:\-=Distr=-\_111111111\_Quarantine\031115scan.scr - infected


    Total 1760954 bytes in 3 files scanned
    Total 2 files are clean
    Total 1 file are infected
    Scan time is 00:00:00.133
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Valery Sharlay, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

    Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.

    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     QuarantineFile('C:\Program Files\72c66e52\jusched.exe','');
     QuarantineFile('C:\Users\Julia.Glazunova\AppData\Local\Anwworks\xddkiswx.dll','');
     QuarantineFile('C:\Users\Julia.Glazunova\AppData\Local\YcPack\wllfydpg.dll','');
     QuarantineFile('C:\Users\Julia.Glazunova\AppData\Local\Anwworks\9043B71C.exe','');
     QuarantineFile('C:\Users\Julia.Glazunova\AppData\Roaming\Eiqkqo.exe','');
     TerminateProcessByName('c:\users\julia.glazunova\appdata\local\anwworks\9043b71c.exe');
     QuarantineFile('c:\users\julia.glazunova\appdata\local\anwworks\9043b71c.exe','');
     DeleteFile('c:\users\julia.glazunova\appdata\local\anwworks\9043b71c.exe','32');
     DeleteFile('C:\Users\Julia.Glazunova\AppData\Roaming\Eiqkqo.exe','32');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-301677886-3595434707-3598675400-1176\Software\Microsoft\Windows\CurrentVersion\Run','Eiqkqo');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-301677886-3595434707-3598675400-1176\Software\Microsoft\Windows\CurrentVersion\Run','Anwworks');
     DeleteFile('C:\Users\Julia.Glazunova\AppData\Local\Anwworks\9043B71C.exe','32');
     DeleteFile('C:\Users\Julia.Glazunova\AppData\Local\YcPack\wllfydpg.dll','32');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-301677886-3595434707-3598675400-1176\Software\Microsoft\Windows\CurrentVersion\Run','YcPack');
     RegKeyParamDel('HKEY_USERS','S-1-5-21-301677886-3595434707-3598675400-1176\Software\Microsoft\Windows\CurrentVersion\Run','AWworks');
     DeleteFile('C:\Users\Julia.Glazunova\AppData\Local\Anwworks\xddkiswx.dll','32');
     DeleteFile('C:\Program Files\72c66e52\jusched.exe','32');
     DeleteFile('C:\Windows\Tasks\Update23.job','32');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member (OID) Репутация
    Регистрация
    05.11.2015
    Сообщений
    6
    Вес репутации
    31
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Отправил


    Цитата Сообщение от mike 1 Посмотреть сообщение
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
    Сделал, прикрепил.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Все пароли меняйте. Все ваши пароли уже у злоумышленника.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member (OID) Репутация
    Регистрация
    05.11.2015
    Сообщений
    6
    Вес репутации
    31
    выполнил
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-301677886-3595434707-3598675400-1176\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\Julia.Glazunova\AppData\Local\Anwworks\xddkiswx.dllATTENTION! ====> ZeroAccess?
      S1 crriplwl; \??\C:\Windows\system32\drivers\crriplwl.sys [X]
      S1 dvgnonda; \??\C:\Windows\system32\drivers\dvgnonda.sys [X]
      S1 pczsycbb; \??\C:\Windows\system32\drivers\pczsycbb.sys [X]
      S1 qcrvxeau; \??\C:\Windows\system32\drivers\qcrvxeau.sys [X]
      2015-11-04 16:16 - 2015-11-04 16:16 - 03148854 _____ C:\Users\Julia.Glazunova\AppData\Roaming\0500BCE20500BCE2.bmp
      2015-11-04 14:24 - 2015-11-05 15:04 - 00000000 __SHD C:\Users\Все пользователи\Windows
      2015-11-04 14:24 - 2015-11-05 15:04 - 00000000 __SHD C:\ProgramData\Windows
      C:\Users\admin.LKZ\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih.exe
      C:\Users\admin.LKZ\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih_2.exe
      C:\Users\admin.LKZ\AppData\Local\Temp\install_flashplayer12x32_mssd_aaa_aih.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\9043B71C.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\fp_pl_pfs_installer-1.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\fp_pl_pfs_installer-2.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\fp_pl_pfs_installer-3.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\fp_pl_pfs_installer.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer11x32_mssa_aaa_aih.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer11x32_mssa_aaa_aih_1.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih_1.exe
      C:\Users\Julia.Glazunova\AppData\Local\Temp\install_flashplayer12x32_mssa_aaa_aih_2.exe
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member (OID) Репутация
    Регистрация
    05.11.2015
    Сообщений
    6
    Вес репутации
    31
    выполнил
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    По расшифровке:

    Пишите в техподдержку Лаборатории Касперского при наличии действующей коммерческой лицензии на любой из продуктов Лаборатории Касперского.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. Это понравилось:


  12. #10
    Junior Member (OID) Репутация
    Регистрация
    05.11.2015
    Сообщений
    6
    Вес репутации
    31
    Цитата Сообщение от mike 1 Посмотреть сообщение
    По расшифровке:

    Пишите в техподдержку Лаборатории Касперского при наличии действующей коммерческой лицензии на любой из продуктов Лаборатории Касперского.
    Что делать, если таковой нет? Есть лицензия Dr.Web.

    Огромадное человеческое спасибо за помощь.

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Ну пробуйте писать в DrWeb может и помогут.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  14. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\julia.glazunova\appdata\local\anwworks\xd dkiswx.dll - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Symmi.38296, AVAST4: Win32:Malware-gen )
      2. c:\users\julia.glazunova\appdata\local\anwworks\90 43b71c.exe - Trojan.Win32.Diple.ginl ( AVAST4: Win32:Dropper-gen [Drp] )
      3. c:\users\julia.glazunova\appdata\local\ycpack\wllf ydpg.dll - HEUR:Trojan.Win32.Generic


  • Уважаемый(ая) Valery Sharlay, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 12
      Последнее сообщение: 09.08.2015, 21:40
    2. Ответов: 6
      Последнее сообщение: 21.07.2015, 13:41
    3. Ответов: 10
      Последнее сообщение: 21.07.2015, 12:11
    4. Ответов: 5
      Последнее сообщение: 12.07.2015, 10:50
    5. Ответов: 4
      Последнее сообщение: 09.07.2015, 20:43

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00740 seconds with 18 queries