P.S. Как заразился так и не понял. Вроде ничего подозрительного не получал по почте, не лазил нигде...
Комп начал тормозить, а потом на раб. столе файлы зашифровались...
Последний раз редактировалось thyrex; 02.11.2013 в 21:21.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Filou, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\users\d0e2~1\appdata\local\temp\3fe96.exe');
QuarantineFile('C:\Users\Вано\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\312.exe','');
QuarantineFile('c:\users\d0e2~1\appdata\local\temp\3fe96.exe','');
DeleteFile('C:\Users\Вано\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\312.exe','32');
DeleteFile('C:\Windows\system32\Tasks\DSite.job','64');
DeleteFile('C:\Windows\system32\Tasks\t9kw7l4fl1.job','64');
DeleteFile('C:\Windows\Tasks\DSite.job','64');
DeleteFile('C:\Windows\Tasks\t9kw7l4fl1.job','64');
DeleteFile('C:\Users\D0E2~1\AppData\Local\Temp\3fe96.exe','32');
DeleteFile('C:\Windows\system32\Tasks\DSite','64');
DeleteFile('C:\Windows\system32\Tasks\t9kw7l4fl1','64');
DeleteFile('C:\Windows\Tasks\DSite','64');
DeleteFile('C:\Windows\Tasks\t9kw7l4fl1','64');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
2. Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O4 - Startup: 312.exe
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
4. Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[R0].txt.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\Вано\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R04SKZ8G\345[1].html','');
QuarantineFile('C:\Users\Вано\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R04SKZ8G\312[1].html','');
DeleteFile('C:\Users\Вано\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R04SKZ8G\312[1].html','32');
DeleteFile('C:\Users\Вано\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\R04SKZ8G\345[1].html','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Для того, чтобы попытаться расшифровать файлы требуется:
1) Тело вируса шифровальщика. Найти его можно так:
• Восстановив удалённые *.exe файлы утилитой Recuva - http://www.piriform.com/recuva (нам понадобится архив с восстановленными файлами)
• Сделав карантин утилитой Combofix - http://virusinfo.info/showthread.php...610#post493610
(после работы утилиты найдите папку C:\Qoobox\Quarantine , заархивируйте ее и пришлите нам также этот архив).
2) Несколько зашифрованных файлов в архиве.
Если найти тело вируса найти возможности нет (вирус был безвозвратно удалён, была переустановлена система), то остаётся только ждать, пока кто-либо не пришлёт тело вируса в нашу вирусную лабораторию или добровольно не приобретёт дешифратор у злоумышленников и не пришлёт его в нашу вирусную лабораторию.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: