Добрый день. Проблема в следующем - на компьютере были зашифровано большинство файлов - расширение crypted. В каждой папке текстовый файл с "инструкциями".
Прошу помочь.
Добрый день. Проблема в следующем - на компьютере были зашифровано большинство файлов - расширение crypted. В каждой папке текстовый файл с "инструкциями".
Прошу помочь.
Последний раз редактировалось ruus; 29.07.2014 в 11:48.
Уважаемый(ая) ruus, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Базы обновите и сделайте новые логи. Это знакомо?Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
c:\windows\help\tours\bo\bin\brfwk.exe
c:\windows\help\tours\m3\metatester.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
логи обновил
это не знакомо:
c:\windows\help\tours\bo\bin\brfwk.exe
c:\windows\help\tours\m3\metatester.exe
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('c:\windows\help\tours\m3\metatester.exe',''); QuarantineFile('C:\CheckPfr\Check.exe',''); QuarantineFile('C:\Documents and Settings\Administrator\WINDOWS\Help\Tours\BO\svchost.exe',''); QuarantineFile('C:\WINDOWS\system32\svchos.exe',''); QuarantineFile('C:\WINDOWS\system32\s.exe',''); QuarantineFile('C:\WINDOWS\Help\Tours\bxd.zip',''); QuarantineFile('C:\WINDOWS\Help\Tours\bxd\copy\osk.exe',''); QuarantineFile('C:\WINDOWS\Help\Tours\bxd\copy\magnify.exe',''); DeleteFile('C:\WINDOWS\Help\Tours\bxd\copy\magnify.exe','32'); DeleteFile('C:\WINDOWS\Help\Tours\bxd\copy\osk.exe','32'); DeleteFile('C:\WINDOWS\Help\Tours\bxd.zip','32'); DeleteFile('C:\WINDOWS\system32\s.exe','32'); DeleteFile('C:\WINDOWS\system32\svchos.exe','32'); DeleteFile('C:\Documents and Settings\Administrator\WINDOWS\Help\Tours\BO\svchost.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:O4 - S-1-5-21-62416294-1024727405-2897665890-1006 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'терминал') O4 - S-1-5-21-62416294-1024727405-2897665890-1006 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'терминал') O4 - S-1-5-21-62416294-1024727405-2897665890-1011 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'света') O4 - S-1-5-21-62416294-1024727405-2897665890-1011 Startup: Ярлык для Wasppacer.exe.lnk.nkopc (User 'света') O4 - S-1-5-21-62416294-1024727405-2897665890-1011 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'света') O4 - S-1-5-21-62416294-1024727405-2897665890-1011 User Startup: Ярлык для Wasppacer.exe.lnk.nkopc (User 'света') O4 - S-1-5-21-62416294-1024727405-2897665890-1012 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'user33') O4 - S-1-5-21-62416294-1024727405-2897665890-1012 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'user33') O4 - S-1-5-21-62416294-1024727405-2897665890-1013 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'sys') O4 - S-1-5-21-62416294-1024727405-2897665890-1013 Startup: Ярлык для svchost.lnk.nkopc (User 'sys') O4 - S-1-5-21-62416294-1024727405-2897665890-1013 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'sys') O4 - S-1-5-21-62416294-1024727405-2897665890-1013 User Startup: Ярлык для svchost.lnk.nkopc (User 'sys') O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM') O4 - S-1-5-18 Startup: Ярлык для svchost.lnk.nkopc (User 'SYSTEM') O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user') O4 - .DEFAULT Startup: Ярлык для svchost.lnk.nkopc (User 'Default user') O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user') O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt O4 - Startup: Ярлык для svchost.lnk.nkopc O4 - Global Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txtСтавьте сервис паки и обновляйте Internet Explorer до 8 версии.Platform: Windows 2003 SP1 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP1 (6.00.3790.1830)
Программу MetaTrader 5 Strategy Tester Agent деинсталлируйте раз она вам не знакома.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.- Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
только обновится пока не получается
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v3.83 BETA 4 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 OFFSGNSAVE breg delall %SystemRoot%\HELP\TOURS\BO\BRSTART.EXE zoo %SystemRoot%\HELP\TOURS\BO\SVCHOST.EXE zoo %SystemDrive%\ADB\TMP\WASPPACER.EXE delall %SystemRoot%\HELP\TOURS\BO\SVCHOST.EXE delall %SystemDrive%\ADB\TMP\WASPPACER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\SYS\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER33\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\AMERIKA\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТОЧКА\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ 2\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ 1\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ\START MENU\PROGRAMS\STARTUP\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT delall %SystemDrive%\DOCUMENTS AND SETTINGS\SYS\START MENU\PROGRAMS\STARTUP\ЯРЛЫК ДЛЯ SVCHOST.LNK.NKOPC delall %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\START MENU\PROGRAMS\STARTUP\ЯРЛЫК ДЛЯ WASPPACER.EXE.LNK.NKOPC delall %SystemDrive%\PROGRAM FILES\OPERA\PROGRAM\PLUGINS\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ\MY DOCUMENTS\DOWNLOADS\EXPLORER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРМИНАЛ\MY DOCUMENTS\DOWNLOADS\EXPLORER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\MXAF4HY7\EXPLORER[1].EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\СВЕТА\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\MXAF4HY7\EXPLORER[1].EXE delall %SystemRoot%\ASSEMBLY\NATIVEIMAGES_V2.0.50727_32\ASPNETMMCEXT\D247B896B86C4F4E8992139640CF1A1C\КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT- В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
- После выполнения скрипта упакуйте содержимое папки ZOO с помощью WinRar, 7-Zip или WinZip в архив формата .ZIP с паролем virus и отправьте этот файл по ссылке "Прислать запрошенный карантин" над первым сообщением в теме.
Сделайте новый лог uVS.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
новый лог
Порядок. Пароли все смените на компьютере от всех учетных записей.
Пробуйте http://support.kaspersky.ru/viruses/disinfection/2911
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\help\tours\bxd.zip - not-a-virus:RiskTool.Win32.HideExec.ac ( BitDefender: Adware.Generic.443593 )
- c:\windows\system32\s.exe - not-a-virus:NetTool.Win32.TCPScan.a ( AVAST4: Win32:TCPScan-C [Cryp] )
- \zoo\explorer.exe._e7ecb2de56a43f4234d8e58c2db3a2f 690e460d3 - Trojan-Ransom.Win32.Cryakl.u ( BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )
- \zoo\explorer[1].exe._e7ecb2de56a43f4234d8e58c2db3a2f690e460d3 - Trojan-Ransom.Win32.Cryakl.u ( BitDefender: Gen:Variant.Zusy.12582, AVAST4: Win32:Malware-gen )
- \zoo\wasppacer.exe._7610d64a21ef562b998f4298fd7219 ef11eafcdd - not-a-virus:NetTool.Win32.Wasppace.l ( BitDefender: Gen:Variant.Strictor.53196 )
Уважаемый(ая) ruus, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.