Пришло письмо на почту с "Арбитражного суда" со ссылкой на .rar файл. Открыл письмо с прикрепленным файлом, после запуска все файлы зашифровались.
Вложение из письма сохранилось.
Пришло письмо на почту с "Арбитражного суда" со ссылкой на .rar файл. Открыл письмо с прикрепленным файлом, после запуска все файлы зашифровались.
Вложение из письма сохранилось.
Последний раз редактировалось koksi; 16.06.2014 в 21:45.
Уважаемый(ая) koksi, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\2013\appdata\local\e4dae3b99400910c4b2d18e715c39c1e\d298a539e8d3560.exe'); SetServiceStart('d298a539e8d3560.exe', 4); StopService('d298a539e8d3560.exe'); QuarantineFile('C:\Users\2013\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судeбный приказ - судeбное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe',''); QuarantineFile('C:\Users\2013\AppData\Local\e4dae3b99400910c4b2d18e715c39c1e\RegFltrX64.sys',''); QuarantineFile('c:\users\2013\appdata\local\e4dae3b99400910c4b2d18e715c39c1e\d298a539e8d3560.exe',''); DeleteFile('C:\Users\2013\AppData\Local\e4dae3b99400910c4b2d18e715c39c1e\d298a539e8d3560.exe','32'); DeleteFile('C:\Users\2013\AppData\Local\e4dae3b99400910c4b2d18e715c39c1e\RegFltrX64.sys','32'); DeleteFile('C:\Users\2013\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp','32'); DeleteFile('C:\Users\2013\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судeбный приказ - судeбное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64'); DeleteService('RegFltrX64'); DeleteService('d298a539e8d3560.exe'); DeleteFileMask('c:\users\2013\appdata\local\e4dae3b99400910c4b2d18e715c39c1e', '*', true, ' '); DeleteDirectory('c:\users\2013\appdata\local\e4dae3b99400910c4b2d18e715c39c1e'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:19610 O4 - Startup: pic.bmp O4 - Startup: ufr_reports
- Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите checkbrowserlnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
- Прикрепите этот отчет в вашей теме.
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
1.2. Malwarebytes' Anti-Malware ещё сканирует, отправлю попозже.
Файл сохранён как 140616_173536_virus_539f2ae8eedd1.zip Размер файла 42899 MD5 e138d094ad7e9923bff2c9588a6a9f37
Последний раз редактировалось thyrex; 16.06.2014 в 21:48.
Лог файлы поменял в шапке темы.
Malwarebytes' Anti-Malware пока ещё сканирует.
Исправляйте ярлыки, удалив в них лишнее
Одну запись в логе HiJack не пофиксилиC:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.15 1748.lnk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Ярлыки исправил
Как ни странно. Не смог найти запись и пофиксить её
"O4 - Startup: pic.bmp"
Зашифрованный файл небольшого размера ппришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Деинсталлируйте новую версию MBAM и сделайте лог MBAM 1.75 я вам на нее специально ссылку давал.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Прошу прощения. Исправил
- - - Добавлено - - -
Безымянный.jpg
Касперский только что обнаружил...
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Проверьте эти файлы на virustotalКод:Обнаруженные файлы: 15 C:\$Recycle.Bin\S-1-5-21-851390367-3573656651-271741674-1000\$R68E7S0.exe (Malware.Packed) -> Действие не было предпринято. C:\$Recycle.Bin\S-1-5-21-851390367-3573656651-271741674-1000\$RSIG5W7.exe (Malware.Packed) -> Действие не было предпринято. C:\$Recycle.Bin\S-1-5-21-851390367-3573656651-271741674-1000\$RVEC48U.exe (Hacktool.KRT) -> Действие не было предпринято. G:\temp\is2105605122\dp.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято. C:\Users\2013\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage (PUP.Optional.Superfish.A) -> Действие не было предпринято. C:\Users\2013\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal (PUP.Optional.Superfish.A) -> Действие не было предпринято.
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.Код:G:\Server\programs\11111\Komp\Мои документы\Личные папки 2\Андриянова Е.Б\util\SMSMoveD500.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Удалил.
https://www.virustotal.com/ru/file/c...is/1403070929/
Я так понял, "дешифратора, на мою мою модификацию вируса". нет. Остается либо ждать, либо платить?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) koksi, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.