На компьютере кто-то зашифровал файлы. В конце переименованных файлов добавлено расширение paycrypt@gmail_com. Требований пока никто не предъявлял, выкупа не просил.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Archermann, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
Код:
Обнаруженные ключи в реестре: 9
HKCR\CLSID\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKCR\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA14329E-9550-4989-B3F2-9732E92D17CC} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Действие не было предпринято.
HKCU\Software\AppDataLow\Software\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Vuze_Remote (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IECT2504091 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
Обнаруженные параметры в реестре: 9
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Параметры: ZзЎ—CЁK»Pбџ¶hђф -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Параметры: MyAshampoo Toolbar -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Параметры: -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{BA14329E-9550-4989-B3F2-9732E92D17CC} (PUP.Optional.Conduit) -> Параметры: Vuze Remote Toolbar -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{BA14329E-9550-4989-B3F2-9732E92D17CC} (PUP.Optional.Conduit) -> Параметры: -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{ba14329e-9550-4989-b3f2-9732e92d17cc} (PUP.Optional.VuzeRemoteTB.A) -> Параметры: -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{ba14329e-9550-4989-b3f2-9732e92d17cc} (PUP.Optional.VuzeRemoteTB.A) -> Параметры: -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|BackgroundContainer (PUP.Optional.Conduit) -> Параметры: "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Администратор\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Параметры: C:\Windows\system32\regedit.exe -> Действие не было предпринято.
Объекты реестра обнаружены: 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Conduit) -> Плохо: (http://search.conduit.com?SearchSource=10&CUI=UN23281638991097981&UM=1&ctid=CT2504091) Хорошо: (http://www.google.com) -> Действие не было предпринято.
Обнаруженные папки: 6
C:\Users\Администратор\AppData\Local\Temp\ct2504091 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT2504091 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\Multi\CT2504091 (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Conduit\CT2504091 (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
Обнаруженные файлы: 47
C:\Program Files (x86)\MyAshampoo\prxtbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\Conduit\Community Alerts\Alert0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\MyAshampoo\hk64tbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\MyAshampoo\hktbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\MyAshampoo\ldrtbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\MyAshampoo\MyAshampooToolbarHelper.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\MyAshampoo\MyAshampooToolbarHelper1.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\MyAshampoo\tbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze\.install4j\user\mism.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\hk64tbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\hktbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\ldrtbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Conduit\CT2475029\MyAshampooAutoUpdaterHelper.exe (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Conduit\CT2504091\Vuze_RemoteAutoUpdateHelper.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\ct2504091\ctbe.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\ct2504091\ieLogic.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\ct2504091\ism.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\ct2504091\statisticsStub.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\ct2504091\stub.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\MyAshampoo\hk64tbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\MyAshampoo\hktbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\MyAshampoo\ldrtbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\MyAshampoo\tbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\Vuze_Remote\hk64tbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\Vuze_Remote\hktbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\Vuze_Remote\ldrtbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Users\Администратор\AppData\LocalLow\Vuze_Remote\tbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
C:\Windows\System32\regedit.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\ct2504091\chromeid.txt (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\Users\Администратор\AppData\Local\Temp\ct2504091\setup.ini.txt (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT2504091\configutaion.json (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT2504091\SetupIcon.ico (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\IE\CT2504091\UninstallerUI.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\Multi\CT2504091\configutaion.json (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\Multi\CT2504091\SetupIcon.ico (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\ProgramData\Conduit\Multi\CT2504091\UninstallerUI.exe (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\GottenAppsContextMenu.xml (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\OtherAppsContextMenu.xml (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\SharedAppsContextMenu.xml (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\toolbar.cfg (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
C:\Program Files (x86)\Vuze_Remote\ToolbarContextMenu.xml (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.