Здравствуйте, помогите вылечить комп и востоновить файлы.
вот что есть:
Покупка декриптора: [email protected]
Ключ хранится 3 суток. (до 24.12.2013)
Обращения после 24.12.2013 будут игнорироваться.
В теме письма укажите ваш ID:450154665604
Стоимость ключа будет увеличиваться ежедневно.
Торга нет и не будет.
Действия, которые могут привести к удалению ключа:
- Оскорбления
- Угрозы
- Запрос платежных реквизитов без последующей оплаты
Последний раз редактировалось cerega63; 06.01.2014 в 14:58.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) cerega63, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Обнаруженные ключи в реестре: 8
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\2BA01940-9A12-40CD-A9AD-F3E68C5E2918_is1 (Trojan.Agent) -> Действие не было предпринято.
HKCU\SOFTWARE\BabylonToolbar (PUP.Optional.BabylonToolBar.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Действие не было предпринято.
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
Обнаруженные папки: 4
C:\Users\Сергей\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
Обнаруженные файлы: 23
C:\Program Files\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\ProgramData\Symantec\SRTSP\Quarantine\APQ631D.tmp (Trojan.Etelka) -> Действие не было предпринято.
C:\ProgramData\Symantec\SRTSP\Quarantine\APQF6F3.tmp (Trojan.Etelka) -> Действие не было предпринято.
C:\ProgramData\Symantec\SRTSP\Quarantine\APQ89BE.tmp (Trojan.Etelka) -> Действие не было предпринято.
C:\ProgramData\Symantec\SRTSP\Quarantine\APQ45DC.tmp (Trojan.Etelka) -> Действие не было предпринято.
C:\Users\Сергей\Desktop\Merry Christmas\圣诞节的第一份礼物.exe (Trojan.Downloader) -> Действие не было предпринято.
C:\Users\Сергей\AdobeSystem.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Покупка декриптора: [email protected]
Ключ хранится 3 суток. (до 24.12.2013)
Обращения после 24.12.2013 будут игнорироваться.
В теме письма укажите ваш ID:450154665604
Стоимость ключа будет увеличиваться ежедневно.
Торга нет и не будет.
Действия, которые могут привести к удалению ключа:
- Оскорбления
- Угрозы
- Запрос платежных реквизитов без последующей оплаты
- - - Добавлено - - -
Что нет лечения от этой заразы?
Покупка декриптора: [email protected]
Ключ хранится 3 суток. (до 24.12.2013)
Обращения после 24.12.2013 будут игнорироваться.
В теме письма укажите ваш ID:450154665604
Стоимость ключа будет увеличиваться ежедневно.
Торга нет и не будет.
Действия, которые могут привести к удалению ключа:
- Оскорбления
- Угрозы
- Запрос платежных реквизитов без последующей оплаты
Не знаю почему у вас не открывается эта ссылка. Вообщем скачайте тогда это вложение. Если у вас версия шифровальщика, которая использует RSA шифрование, то дешифратор от Доктора вам не поможет. Дело в том что у этого шифровальщика есть два варианта, один использует RSA шифрование, второй вариант использует AES-CTR шифрование.
1. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 6
HKCU\SOFTWARE\BabylonToolbar (PUP.Optional.BabylonToolBar.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DEALPLY (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\Crossrider (PUP.Optional.CrossRider.A) -> Действие не было предпринято.
HKCU\Software\Conduit\FF (PUP.Optional.Conduit.A) -> Действие не было предпринято.
HKCU\Software\InstallCore\1I1T1Q1S (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\DealPly|Partner (PUP.Optional.DealPly.A) -> Параметры: iron -> Действие не было предпринято.
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0H1L1J1L1S1R1N -> Действие не было предпринято.
Обнаруженные папки: 3
C:\Users\Сергей\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\OpenCandy\OpenCandy_55AECD6687F143F09730C53AD5674AAC (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
Обнаруженные файлы: 6
C:\Users\Сергей\AdobeSystem.exe (Trojan.Ransom) -> Действие не было предпринято.
C:\Windows\System32\roboot.exe (PUP.Optional.PCPerformer.A) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\OpenCandy\OpenCandy_55AECD6687F143F09730C53AD5674AAC\2006.ico (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\OpenCandy\OpenCandy_55AECD6687F143F09730C53AD5674AAC\PCSpeedUpRU.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\OpenCandy\OpenCandy_55AECD6687F143F09730C53AD5674AAC\PCSpeedUpRUstarter.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Сергей\AppData\Roaming\newnext.me\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
2. В AVZ удалите драйвер расширенного мониторинга процессов AVZPM и сделайте новые логи AVZ.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: