Показано с 1 по 20 из 20.

шифратор Ebola (заявка № 168094)

  1. #1
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35

    шифратор Ebola

    Зашифрованы файлы на компьютере

    Все файлы имеют расширение [email protected]

    http://www.fayloobmennik.net/4170855
    http://www.fayloobmennik.net/4170864

    Логи
    http://www.fayloobmennik.net/4171298
    http://www.fayloobmennik.net/4171306
    http://www.fayloobmennik.net/4171307

    Заранее спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) mutahryak, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Логи загружаем на форум через расширенный режим.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35

    логи

    выкладываю логи

    - - - - -Добавлено - - - - -

    логи продолжение
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Толку от антивируса на такой дырявой системе почти никакого. Из-за того что обновления не установлены на Windows XP болеете сетевым червем Kido.


    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8080
    R3 - URLSearchHook: (no name) -  - (no file)
    Установите SP3 (может потребоваться активация) + все новые обновления для Windows

    Установите Internet Explorer 8 (даже если им не пользуетесь)

    1. Загрузите GMER по одной из указанных ссылок:
      Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    2. Временно отключите драйверы эмуляторов дисков.
    3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
    4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

      • Sections
      • IAT/EAT
      • Show all
    6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    9. Подробную инструкцию читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35

    Лог Gmer

    Лог Gmer
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится fhgcxp32.exe случайное имя утилиты (gmer)
    Код:
    fhgcxp32.exe -del service avtgpx
    fhgcxp32.exe -del service dfdtrx
    fhgcxp32.exe -del service elcxovhmq
    fhgcxp32.exe -del service ihkbyzhyh
    fhgcxp32.exe -del service qnljl
    fhgcxp32.exe -del service rsbbre
    fhgcxp32.exe -del service tndvywly
    fhgcxp32.exe -del file "C:\WINDOWS\system32\gzjfwwrd.dll"
    fhgcxp32.exe -del file "C:\Program Files\Internet Explorer\gzjfwwrd.dll"
    fhgcxp32.exe -del file "C:\Program Files\Movie Maker\jlzvcsia.dll"
    fhgcxp32.exe -del file "C:\Program Files\Movie Maker\gzjfwwrd.dll"
    fhgcxp32.exe -del file "C:\Program Files\Internet Explorer\jlzvcsia.dll"
    fhgcxp32.exe -del file "C:\WINDOWS\system32\jlzvcsia.dll"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tndvywly"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\rsbbre"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\qnljl"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ihkbyzhyh"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\elcxovhmq"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\dfdtrx"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\avtgpx"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tndvywly"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\rsbbre"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\qnljl"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\ihkbyzhyh"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\elcxovhmq"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dfdtrx"
    fhgcxp32.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\avtgpx"
    fhgcxp32.exe -reboot
    И запустите сохранённый пакетный файл cleanup.bat.

    Внимание: Компьютер перезагрузится!

    Сделайте новый лог gmer.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35

    Очередной лог

    Очередной лог

    - - - - -Добавлено - - - - -

    Очередной лог
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте ComboFix здесь и сохраните в корень диска С.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35

    Комбо логи

    Комбо логи
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С.
    Код:
    KillAll::
    
    File::
    c:\windows\system32\03.tmp
    
    Driver::
    kqgibl
    
    NetSvc::
    avtgpx
    ihkbyzhyh
    qnljl
    dfdtrx
    tndvywly
    elcxovhmq
    rsbbre
    
    Folder::
    
    Registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4899:TCP"=-
    "3540:TCP"=-
    "3050:TCP"=-
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kqgibl]
    
    FileLook::
    c:\windows\atmoUn.exe
    c:\program files\UNWISE.EXE
    c:\program files\Opera_11.exe
    
    DirLook::
    
    Reboot::
    После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

    Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35

    Комбо логи

    Комбо продолжение
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



    Скачайте OTCleanIt, запустите, нажмите Clean up

    Пробуйте http://download.geo.drweb.com/pub/dr...225decrypt.exe

    Антивирус обновите до 2015 версии. 2012 версия уже снята с техподдержки.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35
    Дело в том что файл комбофикс,ехе на рабочем столе болтается и при удалении через выполнить/uninstall его не находит

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Скачайте OTCleanIt, запустите, нажмите Clean up
    Тогда используйте этот вариант удаления
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35
    Комбо Удалил через командную строку все продолжаю выполнять ваши подсказки

  18. #17
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35
    Декриптор не видит ни одного файла, а сами они теперь являются приложениями MS-DOS!!! Жду дальнейших советов

  19. #18
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  20. #19
    Junior Member Репутация
    Регистрация
    08.10.2014
    Сообщений
    10
    Вес репутации
    35
    Оказывается я немного натупил - доки декриптор видит как раз перебор пароля сейчас идет а вот как быть с XLS и базами 1С

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Цитата Сообщение от mutahryak Посмотреть сообщение
    Оказывается я немного натупил - доки декриптор видит как раз перебор пароля сейчас идет а вот как быть с XLS и базами 1С
    Если сможет подобрать пароль по doc файлу тогда только пойдет расшифровка остальных файлов.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

Похожие темы

  1. Шифратор
    От Jester в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 19.09.2014, 20:43
  2. помогите!!!пожалуйста избавится от Ebola
    От Neman31 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 09.09.2014, 19:08
  3. заражен вирусом ebola
    От Дмитрий С в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 29.08.2014, 10:24
  4. Шифратор
    От Proxximo в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 13.07.2013, 15:57
  5. Шифратор
    От СерегаЗ в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 03.07.2013, 15:15

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00974 seconds with 20 queries