Вирус переименовал файлы с расширением doc xls pdf jpg и зашифровал файлы.
В конец каждого файла добавил [email protected]_707
При загрузке выводил файл africa.jpg
Как расшифровать файлы?
Вирус переименовал файлы с расширением doc xls pdf jpg и зашифровал файлы.
В конец каждого файла добавил [email protected]_707
При загрузке выводил файл africa.jpg
Как расшифровать файлы?
Уважаемый(ая) ИдельН, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пока разберемся с другой имеющейся вирусятиной
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Администратор\Documents\Application Data\explorer.exe',''); DeleteFile('C:\Users\Администратор\Documents\Application Data\explorer.exe'); QuarantineFile('C:\Users\836D~1\AppData\Local\Temp\3fe08.exe',''); QuarantineFile('C:\Windows\system32\explorer.dll',''); DeleteFile('C:\Windows\system32\explorer.dll','32'); DeleteFile('C:\Users\836D~1\AppData\Local\Temp\3fe08.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ub7l7c.job','32'); DeleteFile('C:\Windows\system32\Tasks\ub7l7c','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://segambino.com/flow/lent.nok
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Пофиксите в HiJack
Сделайте новые логи[/QUOTE]Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = https://segambino.com/flow/lent.nok
Можно поподробнее как это сделать? Не совсем понял. Полученные логи потом куда-то отправить?
http://virusinfo.info/showthread.php?t=4491
Прикрепить к следующему сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
У меня нет кода R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = https://segambino.com/flow/lent.nok
Что нужно сделать чтобы он появился
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикрепил
А логи AVZ новые где?
Да, в этом логе этой записи нет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Закачал. Как в приложении 2. Выкладываю еще здесь
Нужны логи AVZ, а не карантин
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи AVZ
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
ЛОГ МВАМ
Удалите в МВАМ только указанные ниже записиКод:Обнаруженные ключи в реестре: 2 HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\NEW11 1.05 (Trojan.Agent.VBS) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New22 1.06 (Trojan.Agent) -> Действие не было предпринято. Обнаруженные параметры в реестре: 3 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\New11 1.05|UninstallString (Trojan.Agent.VBS) -> Параметры: C:\Program Files\Compa1\New11\Uninstall.exe -> Действие не было предпринято. HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Параметры: https://segambino.com/flow/lent.nok -> Действие не было предпринято. Обнаруженные папки: 3 C:\Recycle.Bin (Trojan.Spyeyes) -> Действие не было предпринято. C:\Program Files\Compa1\New11 (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\Compa2\New22 (Trojan.Agent) -> Действие не было предпринято. Обнаруженные файлы: 22 C:\Windows\System32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято. C:\Users\Администратор\Documents\Application Data\explorer.dat (Trojan.Explorer) -> Действие не было предпринято. C:\Users\Администратор\Documents\Application Data\explorer.reg (Trojan.Explorer) -> Действие не было предпринято. C:\Recycle.Bin\F9FEFBE6C016DC1 (Trojan.Spyeyes) -> Действие не было предпринято. C:\Program Files\Compa1\New11\ch092z.bat (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\Compa1\New11\kolupasi.vbs (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\Compa1\New11\silk.note (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\Compa1\New11\skak.riot (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\Compa1\New11\Uninstall.exe (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\Compa1\New11\Uninstall.ini (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\Compa1\New11\zubizaba.vbs (Trojan.Agent.VBS) -> Действие не было предпринято. C:\Program Files\Compa2\New22\ckon_pedofilz.bat (Trojan.Agent) -> Действие не было предпринято. C:\Program Files\Compa2\New22\kiold.ll (Trojan.Agent) -> Действие не было предпринято. C:\Program Files\Compa2\New22\kvsamolenei.vbs (Trojan.Agent) -> Действие не было предпринято. C:\Program Files\Compa2\New22\Uninstall.exe (Trojan.Agent) -> Действие не было предпринято. C:\Program Files\Compa2\New22\Uninstall.ini (Trojan.Agent) -> Действие не было предпринято. C:\Program Files\Compa2\New22\vaginariot.s (Trojan.Agent) -> Действие не было предпринято. C:\Program Files\Compa2\New22\zbarhotbarba.vbs (Trojan.Agent) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил. Дальнейшие какие мои действия?
1. Где новый лог МВАМ после удаления? Об этом было написано по ссылке
2. Письмо с вложением, после открытия которого получили шифрование, сохранилось?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Логи МВАМ
- - - Добавлено - - -
2. Письмо не сохранилось
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
нашел. Только почему то не прицепляется. Есть какой-нибудь другой способ их переслать?
Уважаемый(ая) ИдельН, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.