Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Шифровальщик с расширением файлов [email protected] (заявка № 156547)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37

    Шифровальщик с расширением файлов [email protected]

    Здравствуйте!

    Подцепил вирус шифровальщик файлов, зашифровал все офисные файлы, базы 1с, архивы, испортил ярлыки на рабочем столе.
    Расширение файлов [email protected]

    Подскажите как вылечить?

    С ситемой ничего пока не делал, просто просканировал с помощью MWB
    Ничего не удалял пока, журнал сканирования такой

    Скрытый текст


    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org


    Версия базы данных: v2014.03.11.04


    Windows 7 Service Pack 1 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Сергей :: MSRV [администратор]


    11.03.2014 10:59:33
    MBAM-log-2014-03-11 (11-25-5.txt


    Тип сканирования: Полное сканирование (C:\|)
    Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
    Опции сканирования отключены: P2P
    Просканированные объекты: 681971
    Времени прошло: 22 минут , 47 секунд


    Обнаруженные процессы в памяти: 0
    (Вредоносных программ не обнаружено)


    Обнаруженные модули в памяти: 0
    (Вредоносных программ не обнаружено)


    Обнаруженные ключи в реестре: 29
    HKCR\CLSID\{4FCB4630-2A1C-4AA1-B422-345E8DC8A6DE} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\escort.escortIEPane.1 (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\escort.escortIEPane (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\CLSID\{C1AF5FA5-852C-4C90-812E-A7F75E011D87} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\delta.deltaHlpr.1 (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\delta.deltaHlpr (PUP.Optional.Delta) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1AF5FA5-852C-4C90-812E-A7F75E011D87} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1AF5FA5-852C-4C90-812E-A7F75E011D87} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\CLSID\{261DD098-8A3E-43D4-87AA-63324FA897D8} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\TypeLib\{39CB8175-E224-4446-8746-00566302DF8D} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\esrv.deltaESrvc.1 (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\esrv.deltaESrvc (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\CLSID\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\delta.deltadskBnd.1 (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\delta.deltadskBnd (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\Typelib\{4599D05A-D545-4069-BB42-5895B4EAE05B} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\Interface\{1231839B-064E-4788-B865-465A1B5266FD} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\CLSID\{E97A663B-81A6-49C5-A6D3-BCB05BA1DE26} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\delta.deltaappCore.1 (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\delta.deltaappCore (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\CLSID\{86838207-681D-469D-9511-D0DCC6F19F9B} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\d (PUP.Optional.Delta) -> Действие не было предпринято.
    HKLM\SOFTWARE\Delta\delta\Instl (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde (PUP.Optional.Delta.A) -> Действие не было предпринято.


    Обнаруженные параметры в реестре: 2
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Параметры: Delta Toolbar -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Параметры: -> Действие не было предпринято.


    Объекты реестра обнаружены: 0
    (Вредоносных программ не обнаружено)
    Скрыть
    Последний раз редактировалось thyrex; 11.03.2014 в 20:49.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) sergey_vp, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37
    Сделал все как в инструкции написано, все три файла запаковал в архив, архив прикрепил к теме по ссылке

    - - - Добавлено - - -

    Обнаружилась учетная запись пользователя которую я не создавал, логин windows, пароль сменил под администратором, зашел, на столе две папки mybbPosterv1.1 mybbPoster_v1.2

    По содержимому в папках понятно что взлом был произведен 9 числа, в логах попытки соединиться с различными сайтами.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Логи выкладываются на форуме, а не загружаются в систему карантинов.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37
    Только что написал на ящик [email protected]
    Отправил туда же зашифрованный файл, ответ пришел через 5 минут с расшифрованным файлом и инструкцией для получения дешифратора, просят слишком много денег, платить не вариант.
    Интересно понять как был взломан комп.

    Насчет логов не понял. Еще раз на форум запостить или вы их из карантина смогли получить?

    - - - Добавлено - - -

    Вот ответ на письмо

    Друзья, я очень рада что вы обратились именно к нам....
    гос пошлина 25000 руб. принимается на киви кошелёк созданный только под ваш платёж.
    далее вы присылаете ваш ip смотрите его тут
    http://www.myip.ru/ru-RU/index.php
    или тут
    http://2ip.ru/
    получаете анлокер (расшифровщик) для вашего бронированного танка ;=)
    распаковываете -> запускаете анлокер -> и забываете про эти неприятности,
    в течении 15-60 минут все ваши файлы будут расшифрованы
    так как каждый файл переписывает сам себя несколько раз.
    если анлокер будет передан третьим лицам (выложите на форумах , антивирусных сайтах или где то ещё), все ваши файлы будут уничтожены.
    даже если вы их перенесёте в безопасное как вам кажется место,
    поверьте останетесь без файлов и без денег.
    Софт полностью заметёт за собой следы и самоудалится из вашей системы через месяц.
    Мы бесплатно расшифруем несколько ваших файлов, что бы вы убедились что дешифратор у нас есть, возможно будет и у вас.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Еще раз на форум запостить или вы их из карантина смогли получить?
    Лучше на форум их загрузите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37

    Логи

    Архив с логами

    - - - Добавлено - - -

    В административном режиме у зашифрованных файлов появляется всплывающее меню

    open with CryptAPP

    Видимо зашифрованы стандартными алгоритмами, какие есть программы дешифрования? В каталоге нелегального пользователя windows обнаружен файл с паролем, не понятно для чего, но может это оно и есть
    Вложения Вложения
    • Тип файла: zip log.zip (52.9 Кб, 4 просмотров)

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Скачайте Malwarebytes' Anti-Malware или с зеркала,
    Я уже это сделал, в первом посте выложил результат.

    - - - Добавлено - - -

    Забыл написать, при повторной проверке количество вредоностных файлов увеличивается, комп от сети отключен, то есть они сами размножаются.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Вы лог MBAM прикрепите.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Вы лог MBAM прикрепите.
    Вот лог MWB
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  29
    HKCR\CLSID\{4FCB4630-2A1C-4AA1-B422-345E8DC8A6DE} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\escort.escortIEPane.1 (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\escort.escortIEPane (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\CLSID\{C1AF5FA5-852C-4C90-812E-A7F75E011D87} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\delta.deltaHlpr.1 (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\delta.deltaHlpr (PUP.Optional.Delta) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1AF5FA5-852C-4C90-812E-A7F75E011D87} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1AF5FA5-852C-4C90-812E-A7F75E011D87} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1AF5FA5-852C-4C90-812E-A7F75E011D87} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\CLSID\{261DD098-8A3E-43D4-87AA-63324FA897D8} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\TypeLib\{39CB8175-E224-4446-8746-00566302DF8D} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\esrv.deltaESrvc.1 (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\esrv.deltaESrvc (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\CLSID\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\delta.deltadskBnd.1 (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\delta.deltadskBnd (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\Typelib\{4599D05A-D545-4069-BB42-5895B4EAE05B} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\Interface\{1231839B-064E-4788-B865-465A1B5266FD} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85} (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKCR\CLSID\{E97A663B-81A6-49C5-A6D3-BCB05BA1DE26} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\delta.deltaappCore.1 (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\delta.deltaappCore (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\CLSID\{86838207-681D-469D-9511-D0DCC6F19F9B} (PUP.Optional.Delta) -> Действие не было предпринято.
    HKCR\d (PUP.Optional.Delta) -> Действие не было предпринято.
    HKLM\SOFTWARE\Delta\delta\Instl (PUP.Optional.Delta.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde (PUP.Optional.Delta.A) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  2
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Параметры: Delta Toolbar -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{82E1477C-B154-48D3-9891-33D83C26BCD3} (PUP.Optional.Delta.A) -> Параметры:  -> Действие не было предпринято.
    
    Обнаруженные папки:  4
    C:\Users\Администратор\AppData\Roaming\Delta (PUP.Optional.Delta.A) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct (Backdoor.Bifrose) -> Действие не было предпринято.
    C:\Program Files\Delta\delta\1.8.22.0 (PUP.Optional.Delta.A) -> Действие не было предпринято.
    C:\Program Files\Delta\delta\1.8.22.0\bh (PUP.Optional.Delta.A) -> Действие не было предпринято.
    
    Обнаруженные файлы:  85
    C:\Program Files\Delta\delta\1.8.22.0\bh\delta.dll (PUP.Optional.Delta) -> Действие не было предпринято.
    C:\Program Files\Delta\delta\1.8.22.0\deltasrv.exe (PUP.Optional.Delta.A) -> Действие не было предпринято.
    C:\Program Files\Delta\delta\1.8.22.0\deltaTlbr.dll (PUP.Optional.Delta.A) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\Q\libcurl.dll (Trojan.Miner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\Q\minerd_w32_avx.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\Q\minerd_w32_avx2.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\Q\minerd_w32_sse2.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\Q\minerd_w32_sse3.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\Q\minerd_w32_sse4.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\svinka\minerd64_avx.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\svinka\minerd64_CHEAT.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\svinka\minerd64_sse2.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\svinka\minerd64_sse3.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\svinka\minerd64_sse4.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\Users\LenaA\AppData\Local\Temp\0bea10b1.exe (Backdoor.Bicolo) -> Действие не было предпринято.
    C:\Users\LenaA\AppData\Local\Temp\192f32e6.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Users\Vitaly\AppData\Local\Temp\06569157.exe (Trojan.Bicololo) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\DeltaTB.exe (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus1125\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus1635\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus2A42\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus2A69\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus354F\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus4205\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus46EF\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus59A3\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus71D3\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus72A0\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus805E\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus88F8\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus92E8\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus9B70\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\bus9E52\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\busA4DF\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\busACD\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\busB88F\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\busD195\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\busD8C5\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\busE154\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\busE9E7\CrxUpdater_d.exe (PUP.Optional.CRX.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\BExternal.dll (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\BUSolution.dll (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\MntrDLLInstall.dll (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\MyDeltaTB.exe (PUP.Optional.Delta.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\NTRedirect.dll (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\is40051056\41730122_Setup.EXE (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\BabSolution\Shared\NTRedirect.dll (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Oqcy\wuuv.exe (Trojan.Agent.CO) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Qoedx\ofnoi.exe (Trojan.Agent.CL) -> Действие не было предпринято.
    C:\Users\Надежда\AppData\Local\Temp\9ZZssnD3.exe.part (PUP.Optional.LoadMoney) -> Действие не было предпринято.
    C:\Users\Сергей\AppData\Roaming\Govula\edaro.exe (Trojan.Agent.CL) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-1008\$R1GVZWA.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-1008\$RDLVS9T.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-1008\$RFUHZ0S.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-1008\$RJM2FP0.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-1008\$RMW86JV.dll (Trojan.Miner) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-1008\$RT8BLWY.exe (Riskware.BitcoinMiner) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-1008\$RV2IS3C.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-500\$RGQCFJI\AppData\Local\Temp\0005b2ca.exe (Trojan.Startpage) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-500\$RDTN0RL\Downloads\1_aa_v3 (1).exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-500\$RDTN0RL\Downloads\1_aa_v3 (2).exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-500\$RDTN0RL\Downloads\1_aa_v3.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
    C:\Intel\Logs\drv\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
    C:\Program Files\Delta\delta\1.8.22.0\deltaApp.dll (PUP.Optional.Delta) -> Действие не было предпринято.
    C:\Program Files\Delta\delta\1.8.22.0\deltaEng.dll (PUP.Optional.Delta) -> Действие не было предпринято.
    C:\Program Files\Delta\delta\1.8.22.0\uninstall.exe (PUP.Optional.Delta.A) -> Действие не было предпринято.
    C:\Program Files\MicrosoftNT\net\net\DEC\%drive_C%\WINDOW5\system32\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
    C:\Program Files\MicrosoftNT\net\net\DEC\%drive_C%\WINDOW5\system32\f\cg.exe (PUP.Optional.BitMiner) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Delta\sqlite3.dll (PUP.Optional.Delta.A) -> Действие не было предпринято.
    C:\Users\LenaA\AppData\Local\Google\Chrome\User Data\Default\bprotector web data (PUP.Optional.BProtector.A) -> Действие не было предпринято.
    C:\Users\Vitaly\AppData\Local\Google\Chrome\User Data\Default\bprotector web data (PUP.Optional.BProtector.A) -> Действие не было предпринято.
    C:\Users\Надежда\AppData\Local\Google\Chrome\User Data\Default\bprotector web data (PUP.Optional.BProtector.A) -> Действие не было предпринято.
    C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\bprotector web data (PUP.Optional.BProtector.A) -> Действие не было предпринято.
    C:\Users\LenaA\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences (PUP.Optional.BProtector.A) -> Действие не было предпринято.
    C:\Users\Vitaly\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences (PUP.Optional.BProtector.A) -> Действие не было предпринято.
    C:\Users\Надежда\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences (PUP.Optional.BProtector.A) -> Действие не было предпринято.
    C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences (PUP.Optional.BProtector.A) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\~.bat (Backdoor.Bifrose) -> Действие не было предпринято.
    C:\Program Files\Delta\delta\1.8.22.0\GUninstaller.exe (PUP.Optional.Delta.A) -> Действие не было предпринято.
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37

    Образцы файлов

    Цитата Сообщение от mike 1 Посмотреть сообщение
    Вы лог MBAM прикрепите.
    Забыл написать что есть файл который дешифровали авторы вируса, возможно это как то прояснит ситуацию.

    - - - Добавлено - - -

    Цитата Сообщение от sergey_vp Посмотреть сообщение
    Забыл написать что есть файл который дешифровали авторы вируса, возможно это как то прояснит ситуацию.
    Вот что получилось после удаления в MWB
    Вложения Вложения

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Это осталось:

    Код:
    Обнаруженные папки:  1
    C:\Program Files\Company\NewProduct (Backdoor.Bifrose) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Users\Administrator\Desktop\Q\libcurl.dll (Trojan.Miner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\Q\minerd_w32_sse2.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\RRR\libcurl.dll (Trojan.Miner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\RRR\minerd_w32_generic.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\RRR\minerd_w32_sse2.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\LenaA\AppData\Local\Temp\0bea10b1.exe (Backdoor.Bicolo) -> Действие не было предпринято.
    C:\Users\LenaA\AppData\Local\Temp\192f32e6.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Users\Vitaly\AppData\Local\Temp\06569157.exe (Trojan.Bicololo) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\DeltaTB.exe (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\BUSolution.dll (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Oqcy\wuuv.exe (Trojan.Agent.CO) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Qoedx\ofnoi.exe (Trojan.Agent.CL) -> Действие не было предпринято.
    C:\Users\Сергей\AppData\Roaming\Govula\edaro.exe (Trojan.Agent.CL) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-500\$RGQCFJI\AppData\Local\Temp\0005b2ca.exe (Trojan.Startpage) -> Действие не было предпринято.
    C:\Intel\Logs\drv\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\~.bat (Backdoor.Bifrose) -> Действие не было предпринято.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Это осталось:

    Код:
    Обнаруженные папки:  1
    C:\Program Files\Company\NewProduct (Backdoor.Bifrose) -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\Users\Administrator\Desktop\Q\libcurl.dll (Trojan.Miner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\Q\minerd_w32_sse2.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\RRR\libcurl.dll (Trojan.Miner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\RRR\minerd_w32_generic.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\Administrator\Desktop\RRR\minerd_w32_sse2.exe (PUP.BitCoinMiner) -> Действие не было предпринято.
    C:\Users\LenaA\AppData\Local\Temp\0bea10b1.exe (Backdoor.Bicolo) -> Действие не было предпринято.
    C:\Users\LenaA\AppData\Local\Temp\192f32e6.exe (Trojan.Agent.VBS) -> Действие не было предпринято.
    C:\Users\Vitaly\AppData\Local\Temp\06569157.exe (Trojan.Bicololo) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\DeltaTB.exe (PUP.Optional.Babylon.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\CDF505E7-BAB0-7891-8A50-DCE1B6AC7D2B\Latest\BUSolution.dll (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Oqcy\wuuv.exe (Trojan.Agent.CO) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Roaming\Qoedx\ofnoi.exe (Trojan.Agent.CL) -> Действие не было предпринято.
    C:\Users\Сергей\AppData\Roaming\Govula\edaro.exe (Trojan.Agent.CL) -> Действие не было предпринято.
    C:\$Recycle.Bin\S-1-5-21-2659835594-1781302897-2772991906-500\$RGQCFJI\AppData\Local\Temp\0005b2ca.exe (Trojan.Startpage) -> Действие не было предпринято.
    C:\Intel\Logs\drv\safesurf.exe (PUP.Optional.SafeGuard) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\~.bat (Backdoor.Bifrose) -> Действие не было предпринято.
    Это тоже надо удалить?

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Конечно.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #18
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Конечно.
    Осталось три строчки
    Вложения Вложения

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Проверьте эти файлы на virustotal
    Код:
    C:\Users\Надежда2\Downloads\wuauclt.exe
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #20
    Junior Member Репутация
    Регистрация
    11.03.2014
    Сообщений
    13
    Вес репутации
    37
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Проверьте эти файлы на virustotal
    Код:
    C:\Users\Надежда2\Downloads\wuauclt.exe
    кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
    https://www.virustotal.com/ru/file/e...is/1394611501/

  • Уважаемый(ая) sergey_vp, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите с расшифровкой файлов, relock@qq_com
      От AntonyNolen в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.03.2014, 14:37
    2. Ответов: 5
      Последнее сообщение: 18.12.2013, 23:33
    3. Ответов: 3
      Последнее сообщение: 21.11.2013, 14:46
    4. Проблема с расширением файлов
      От VaNNeSS в разделе Microsoft Windows
      Ответов: 4
      Последнее сообщение: 15.06.2009, 16:03
    5. Проблема с расширением файлов
      От VaNNeSS в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 14.06.2009, 15:27

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00740 seconds with 20 queries