Подхватил вирус-шифровальщик, который зашифровал и изменил имена файлов документов и изображений. На рабочем столе появилось изображение африканского пирата с текстом о выкупе. Помогите, пожалуйста.
С уважением, Алексей
Подхватил вирус-шифровальщик, который зашифровал и изменил имена файлов документов и изображений. На рабочем столе появилось изображение африканского пирата с текстом о выкупе. Помогите, пожалуйста.
С уважением, Алексей
Уважаемый(ая) Alexey Kuzmin, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\AlexeyK\appdata\roaming\flash\cgminer-nogpu.exe',''); QuarantineFile('C:\Users\AlexeyK\AppData\Local\Temp\yhxdm.exe',''); QuarantineFile('C:\PROGRA~1\WIA6EB~1\Datamngr\BROWSE~1.DLL',''); DelBHO('{9D717F81-9148-4f12-8568-69135F087DB0}'); QuarantineFile('C:\Users\AlexeyK\AppData\Local\Microsoft\Windows\winupdate.exe',''); QuarantineFile('C:\Users\AlexeyK\AppData\Roaming\Flash\update.vbs',''); QuarantineFile('C:\Users\AlexeyK\AppData\Roaming\Axfas\olatu.exe',''); QuarantineFile('C:\PROGRA~1\WIA6EB~1\Datamngr\datamngr.dll',''); QuarantineFile('C:\PROGRA~1\WIA6EB~1\Datamngr\IEBHO.dll',''); QuarantineFile('C:\PROGRA~1\WIA6EB~1\Datamngr\DATAMN~1.EXE',''); DeleteFile('C:\PROGRA~1\WIA6EB~1\Datamngr\DATAMN~1.EXE','32'); DeleteFile('C:\PROGRA~1\WIA6EB~1\Datamngr\IEBHO.dll','32'); DeleteFile('C:\PROGRA~1\WIA6EB~1\Datamngr\datamngr.dll','32'); DeleteFile('C:\Users\AlexeyK\AppData\Roaming\Axfas\olatu.exe','32'); DeleteFile('C:\Users\AlexeyK\AppData\Roaming\Flash\update.vbs','32'); DeleteFile('C:\Users\AlexeyK\AppData\Local\Microsoft\Windows\winupdate.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{016E7860-7C7B-5295-F6D9-DEF69E5465CB}'); DeleteFile('C:\PROGRA~1\WIA6EB~1\Datamngr\BROWSE~1.DLL','32'); DeleteFile('C:\Users\AlexeyK\AppData\Local\Temp\yhxdm.exe','32'); DeleteFile('C:\windows\Tasks\roap.job','32'); DeleteFile('C:\windows\system32\Tasks\roap','32'); DeleteFile('C:\Users\AlexeyK\appdata\roaming\flash\cgminer-nogpu.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил все предписанные процедуры. Во вложениях все логи.
Удалите в МВАМ все, кромеКод:C:\Program Files\WinRAR\original\RAR Slayer v1.1.exe (Malware.Tool) -> Действие не было предпринято. C:\Temp\ENGiNE\PhotoShopCS4_X32_Crk.exe (Trojan.Agent) -> Действие не было предпринято. I:\Program\2003\Suslov\namo.webeditor.5.5.crack-tsrh.zip (RiskWare.Tool.CK) -> Действие не было предпринято. I:\Program\2003\Suslov\wedit_crk.exe (RiskWare.Tool.CK) -> Действие не было предпринято. I:\System Volume Information\_restore{DD37F9F2-814D-46D8-8DEA-A34053194545}\RP356\A0046171.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил все в MBAM, как Вы советовали. Спасибо за Вашу помощь.
Что еще надо предпринять для восстановления компьютера? Возможно ли раскодирование зашифрованных файлов?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\users\alexeyk\appdata\roaming\flash\cgminer-nogpu.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lik ( DrWEB: Trojan.BtcMine.220 )
Уважаемый(ая) Alexey Kuzmin, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.