Показано с 1 по 15 из 15.

Зашифрованные файлы. Расширение AES256 у .doc .xls .jpg .mdf на всех локальных дисках кроме .exe .ISO файлов. [not-a-virus:RemoteAdmin.Win32.Ammyy.hq ] (заявка № 168166)

  1. #1
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    8

    Thumbs up Зашифрованные файлы. Расширение AES256 у .doc .xls .jpg .mdf на всех локальных дисках кроме .exe .ISO файлов. [not-a-virus:RemoteAdmin.Win32.Ammyy.hq ]

    Доброго времени, профи!


    Зашифрованные файлы. Расширение AES256 у .doc .xls .jpg .mdf на всех локальных дисках кроме .exe .ISO файлов.
    В каждой зараженной папке присутствует текстовый документ "Внимание_ откройте-меня" с след. содержимым:


    "Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления.
    Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

    Скрытый текст


    Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты.
    TOR: https://www.torproject.org/ | Видео инструкция: http://youtu.be/43feBLwHzn0
    url_1: http://y6kpyefykdvswxps.onion:4567/pay.html
    url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html
    HashKey: 7d6ea713c17690236683d80dda7c8120
    ID: 6667




    Согласно инструкции сделал логи без подключенного интернета из этой темы http://virusinfo.info/showthread.php?t=167795


    Перед этим порывшись по темам удалось убить следующее:
    через cureit


    \device\harddiskvolume2\users\mama\appdata\roaming\microsoft\windows\start menu\programs\startup\runwin.exe - Ok




    \device\harddiskvolume2\users\ded\appdata\local\microsoft\windows\system.vbs - infected with Trojan.Ormes.9
    \device\harddiskvolume2\users\ded\appdata\local\microsoft\windows\system.vbs - infected


    C:\Users\DED\AppData\Local\Temp\RarSFX0\install.vbs - infected with Trojan.Ormes.9


    C:\Users\Mama\AppData\Roaming\Opera Software\Opera Stable\Extensions\efinmbicabejjhjafeidhfbojhnfiepj\1.0.3\manifest.json - infected with Trojan.Ormes.8




    C:\Users\Mama\Downloads\jovesmodpack_0_9_3_v12.7.exe - is adware program Adware.Downware.5907
    C:\Users\Mama\Downloads\jovesmodpack_0_9_3_v12.7.exe - infected


    C:\Users\Timafey\AppData\Roaming\newSI_23\s_inst.exe - infected with Trojan.Fakealert.47029
    C:\Users\Timafey\AppData\Roaming\newSI_23\s_inst.exe - infected


    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA\desktop.ini - Ok
    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M\MySafeProxy32[1].dll - is adware program Adware.Siggen.31165
    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5\MySafeProxyBroker[1].exe - is adware program Adware.Siggen.31165
    C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M\MySafeProxy32[1].dll - infected




    ...и вручную удалены папки у пользователей : artem/mama/ded/timafey


    \AppData\Roaming\Mail.RU NewGamesT
    Microsoft DB
    tor
    Tor Project
    GemWare
    Browsers
    ICL
    newSI_23
    Скрыть


    Надеюсь на вашу помощь!
    Вложения Вложения
    Последний раз редактировалось mike 1; 09.10.2014 в 13:06.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326

    Зашифрованные файлы. Расширение AES256 у .doc .xls .jpg .mdf на всех локальных дисках кроме .exe .ISO файлов. [not-a-virus:RemoteAdmin.Win32.Ammyy.hq ]

    Уважаемый(ая) Realbe, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,246
    Вес репутации
    1022
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Users\Timafey\AppData\Roaming\newSI_23\s_inst.exe','');
     QuarantineFile('C:\Program Files (x86)\Microsoft Data\nsi.exe','');
     DeleteFile('C:\Program Files (x86)\Microsoft Data\nsi.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
     DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
     DeleteFile('C:\Windows\Tasks\newSI_23.job','64');
     DeleteFile('C:\Users\Timafey\AppData\Roaming\newSI_23\s_inst.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\newSI_23','64');
     DeleteFileMask('C:\Users\Timafey\AppData\Roaming\newSI_23', '*', true, ' ');
     DeleteDirectory('C:\Users\Timafey\AppData\Roaming\newSI_23');     
    BC_ImportAll;
    ExecuteSysClean;          
    BC_Activate;  
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserlnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    8
    ПРикрепил по красной ссылке пасс вы знаете Файл сохранён как 141010_165505_virus_54380f6941c7f.zip (там был найден ammyy admin)

    Создавая логи пользователь Timafey в системе уже был удален, а вход был осущ. через artem.
    Вложения Вложения
    Последний раз редактировалось Realbe; 10.10.2014 в 21:08.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,246
    Вес репутации
    1022
    Перетащите CheckBrowserLnk.log на эту http://virusinfo.info/soft/tool.php?tool=ClearLNK утилиту.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Перетащите CheckBrowserLnk.log на эту http://virusinfo.info/soft/tool.php?tool=ClearLNK утилиту.
    ClearLNK by Alex Dragokas ver. 2.3.0.1

    OS: x64 Windows 7 Ultimate. Service Pack: 1
    IsAdmin: True
    User: Artem
    _____________________________ Begin of Log ______________________________

    [ OK ] "C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk" [ "C:\Program Files (x86)\Opera\launcher.exe" ] (ОК). Метод AN-RN
    [WARN !] "C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk" [ "C:\Program Files (x86)\Opera\launcher.exe" ] (ОШИБКА: новые цель и аргументы дублируют старые). Метод AN-RN
    [WARN !] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk" [ "C:\Program Files (x86)\Opera\launcher.exe" ] (ОШИБКА: новые цель и аргументы дублируют старые). Метод AN-RN

    ______________________________ Статистика ______________________________
    Исправлено: 1
    Удалено: 0
    Пропущено: 0
    Блокировок: 0
    Предупреждений: 2
    Ошибок: 0
    ______________________________ End of Log ______________________________

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,246
    Вес репутации
    1022
    Эти ярлыки пересоздайте вручную:

    C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Эти ярлыки пересоздайте вручную:



    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Opera вообще снёс
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,246
    Вес репутации
    1022
    Этот файл удалите:

    20.08.2014 22:52:42 ----A---- C:\Windows\SysWOW64\drivers\bd0002(3).sys
    Пробуйте http://support.kaspersky.ru/viruses/disinfection/10556
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    8
    Файл bd0002(3).sys удалил, но утилита не подобрала пароль на xls doc и jpg. Вчера и эта rannohdecryptor не помогла

    Дальнейшие мои действия?...надеится и ждать!

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,246
    Вес репутации
    1022
    Вчера и эта rannohdecryptor не помогла
    Она для этого шифратора не предназначена.

    но утилита не подобрала пароль
    Значит с расшифровкой не поможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. mike 1 получил(а) благодарность за это сообщение от


  14. #12
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,573
    Вес репутации
    2915
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  15. thyrex получил(а) благодарность за это сообщение от


  16. #13
    Junior Member Репутация
    Регистрация
    09.10.2014
    Сообщений
    13
    Вес репутации
    8
    Спасибо камрады! Всё восстановилось в свои форматы с aes256.
    Запускать со всех сущ. пользователей - это если не все файлы сразу расшифровались.

    Видео прилагается

    Какая инфа или файлы еще от меня требуются? И в чем выразить благодарность

  17. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,246
    Вес репутации
    1022
    Больше никакая. Повезло вам

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
    begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
    else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

    Советы и рекомендации после лечения компьютера
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  18. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,544
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\artem\downloads\aa_v3 (1).exe - not-a-virus:RemoteAdmin.Win32.Ammyy.hq ( DrWEB: Program.RemoteAdmin.745 )


  • Уважаемый(ая) Realbe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Карантин 7AE10DA530071C05B7268099A7820821 [not-a-virus:RemoteAdmin.Win32.Ammyy.fi, not-a-virus:RemoteAdmin.Win32.Ammyy.he ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 07.09.2014, 00:24
    2. Карантин 4440B4A56786DAE37F1A966E07341DEB [not-a-virus:RemoteAdmin.Win32.Ammyy.fi, not-a-virus:RemoteAdmin.Win32.Ammyy.ch ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 04.08.2014, 13:35
    3. Ответов: 16
      Последнее сообщение: 14.07.2014, 12:11
    4. Карантин 071667BB3176E864CFD60B7428F3D780 [not-a-virus:RemoteAdmin.Win32.Ammyy.fi, not-a-virus:RemoteAdmin.Win32.Ammyy.an ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 19.06.2014, 09:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01362 seconds with 23 queries