с rambler словили вирус-шифровальщик *.breaking_bad. Все несистемные файлы ( в том числе и базы программ) зашифровались с расширением *.breaking_bad. прошу помощи в лечении
с rambler словили вирус-шифровальщик *.breaking_bad. Все несистемные файлы ( в том числе и базы программ) зашифровались с расширением *.breaking_bad. прошу помощи в лечении
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) kurtfo, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
в Farbar Recovery Scan Tool сделал отчеты ( во вложении)
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\system32\config\svchost.exe',''); QuarantineFile('C:\Program Files (x86)\ver7SpeedChecker\V1SpeedCheckerj.exe',''); QuarantineFile('C:\Program Files (x86)\ver7SpeedChecker\i1SpeedCheckeru59.exe',''); QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe',''); QuarantineFile('C:\TEMP\21685808.exe',''); QuarantineFile('C:\Users\Buh-3\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk',''); QuarantineFile('C:\Users\Buh-3\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk',''); QuarantineFile('C:\Users\Buh-3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Свод-Смарт.lnk',''); QuarantineFile('C:\Users\Buh-3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\The Bat!.LNK.lnk',''); QuarantineFile('C:\Users\Buh-3\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Referent.exe.lnk',''); QuarantineFile('C:\Windows\System32\VyLBSsBEGthkXH.exe',''); QuarantineFile('C:\Users\Buh-3\AppData\Local\storegid\storegid.exe',''); QuarantineFile('C:\Users\Buh-3\AppData\Local\Screeny\Screeny.exe',''); QuarantineFile('C:\Users\Buh-3\AppData\Local\storegid\storegidup.exe',''); QuarantineFile('C:\Program Files (x86)\Winsent Innocenti\winnosent.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Windows\system32\VyLBSsBEGthkXH.exe',''); DeleteFile('C:\Windows\system32\VyLBSsBEGthkXH.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','xVcSbGfiBEOdgFkmtAaxvsvAEu'); DeleteFile('C:\Users\Buh-3\AppData\Local\storegid\storegidup.exe','32'); DeleteFile('C:\Users\Buh-3\AppData\Local\Screeny\Screeny.exe','32'); DeleteFile('C:\Users\Buh-3\AppData\Local\storegid\storegid.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Screeny','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command'); DeleteFile('C:\Windows\System32\VyLBSsBEGthkXH.exe','32'); DeleteFile('C:\Windows\Tasks\At1.job','32'); DeleteFile('C:\TEMP\21723404','32'); DeleteFile('C:\TEMP\21685808.exe','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Program Files (x86)\ver7SpeedChecker\i1SpeedCheckeru59.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SpeedChecker Update','64'); DeleteFile('C:\Windows\system32\Tasks\SpeedChecker_wd','64'); DeleteFile('C:\Program Files (x86)\ver7SpeedChecker\V1SpeedCheckerj.exe','32'); DeleteFile('C:\Windows\system32\config\svchost.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Сделайте лог CheckBrowsers' Lnk
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\windows\csrss.exe - Trojan-Ransom.Win32.Agent.ikh ( DrWEB: Trojan.Encoder.858, AVAST4: Win32:Dropper-gen [Drp] )
- c:\windows\system32\config\svchost.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.jh ( BitDefender: Trojan.Generic.5995439 )
Уважаемый(ая) kurtfo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
