Показано с 1 по 16 из 16.

Зашифрованы документы и изображения, нужна помощь (заявка № 169700)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    8

    Зашифрованы документы и изображения, нужна помощь

    Доброго дня!
    Сегодня мой коллега получил письмо с вложенным архивом Zakaz.zip в котором лежал файл zakaz.scr. Фаил был запущен им собственноручно, в итоге все документы оказались зашифрованными, в командной строке запуска всех браузеров появились дополнительные параметры, в каждой папке создан файл "Как расшифровать ваши файлы" открывающий англоязычный сайт с переходом на список каких то платежных систем.
    Что сделано: сохранен присланный архив, компьютер проверен Касперским эндпоинт секюрити с сохранением лога сканирования, AVZ. Все логи сохранены. На файлообменнике в архиве SlavaCript.zip есть примеры файлов, сам шифровальщик, присланный по почте, логи всех утиллит. Есть ли шанс расшифровать содержимое компьютера?



    ссылка на архив, архив под паролем, пароль 1111
    Последний раз редактировалось mike 1; 29.10.2014 в 13:32. Причина: Вирусная ссылка

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,268
    Вес репутации
    326
    Уважаемый(ая) Дмитрий Ст, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Тоже бесплатный Аваст небось установлен?

    Логи загружайте на форум. Нужных логов AVZ по вашей ссылке я не увидел.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  5. #4
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Тоже бесплатный Аваст небось установлен?

    Логи загружайте на форум. Нужных логов AVZ по вашей ссылке я не увидел.

    Не Аваст, я написал про касперского.
    Эти логи?
    Вложения Вложения

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Да только лога HiJackThis не хватает.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  7. #6
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    8
    Он в архиве по первой ссылке

    удалили ссылку...

    Скрытый текст

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 12:36:30, on 29.10.2014
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Labtec\WebCam10\WebCam10.exe
    C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Asus\AiGuru S1 Utility\AiGuruS1Utility.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\QIP 2012\qip.exe
    C:\Program Files\ASUS Wireless Network Utility\RtWLan.exe
    C:\Program Files\Psi\psi.exe
    C:\WINDOWS\system32\HPSIsvc.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\TermTutor\Service\ttsvc.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe
    C:\Program Files\Common Files\LogiShrd\LComMgr\LVComSX.exe
    C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Total Commander Podarok Edition\TOTALCMD.EXE
    C:\Program Files\The Bat!\thebat.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\hj\Trend Micro\HiJackThis\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ui.skype.com/ui/0/4.1.0.166./ru/download
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9881
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
    O1 - Hosts: 80.94.235.2 aion.iptel.by
    O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll
    O2 - BHO: TermTutor - {6CB99040-7828-4C37-AC01-F15758F43E4D} - C:\Program Files\TermTutor\IE\TermTutorClientIE.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Labtec\WebCam10\WebCam10.exe" /hide
    O4 - HKLM\..\Run: [Nvtmru] "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nview\nwiz.exe /installquiet
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe"
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WiFiSkype] "C:\Program Files\Asus\AiGuru S1 Utility\AiGuruS1Utility.exe" -autolaunch
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    O4 - HKCU\..\Run: [Infium] "C:\Program Files\QIP 2012\qip.exe" /autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-1659004503-73586283-1801674531-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-18 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'SYSTEM')
    O4 - .DEFAULT Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - .DEFAULT User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - Startup: Psi.lnk = C:\Program Files\Psi\psi.exe
    O4 - Startup: Как_Расшифровать_Ваши_Файлы.html
    O4 - Global Startup: ASUS Wireless Network Utility.lnk = ?
    O4 - Global Startup: Как_Расшифровать_Ваши_Файлы.html
    O9 - Extra button: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files\Hewlett-Packard\SmartPrint\smartprintsetup.exe
    O9 - Extra 'Tools' menuitem: SmartPrint - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files\Hewlett-Packard\SmartPrint\smartprintsetup.exe
    O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {DA73BDBB-A643-421A-9035-1FF525419A2F} (SXPTiffPlugIn Control) - https://eportal.daf.com/web5/Rapido/TiffPlugIn.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{78792DAE-7B13-486D-B514-F1170D08CCFA}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7E1DA2A4-2A0C-4570-A3C6-95B3BDFD366F}: NameServer = 127.0.0.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Kaspersky Endpoint Security Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: HP SI Service (HPSIService) - HP - C:\WINDOWS\system32\HPSIsvc.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
    O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Term Tutor Client Service (ttsvc) - Term Tutor - C:\Program Files\TermTutor\Service\ttsvc.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: WindowsMangerProtect Service (WindowsMangerProtect) - Fuyu LIMITED - C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

    --
    End of file - 10925 bytes
    Скрыть
    Последний раз редактировалось thyrex; 29.10.2014 в 18:14.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin    
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;   
     TerminateProcessByName('c:\program files\termtutor\service\ttsvc.exe');
     TerminateProcessByName('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe');
     SetServiceStart('{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt', 4);
     SetServiceStart('ttnfd', 4);
     SetServiceStart('WindowsMangerProtect', 4);
     SetServiceStart('ttsvc', 4);
     StopService('{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt');
     StopService('ttnfd');
     StopService('WindowsMangerProtect');
     StopService('ttsvc');
     QuarantineFile('C:\Program Files\suptab\suptab.dll','');
     QuarantineFile('C:\Program Files\suptab\search~2.dll','');
     QuarantineFile('C:\Program Files\suptab\search~1.dll','');
     QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
     QuarantineFile('C:\Documents and Settings\Slava\Local Settings\Application Data\PirritSuggestor\RegFltrX86.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ttnfd.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gt.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt.sys','');
     QuarantineFile('c:\program files\termtutor\service\ttsvc.exe','');
     QuarantineFile('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt.sys','32');
     DeleteFile('C:\WINDOWS\system32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gt.sys','32');
     DeleteFile('C:\Program Files\TermTutor\Service\ttsvc.exe','32');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe','32');
     DeleteFile('C:\WINDOWS\system32\drivers\ttnfd.sys','32');
     DeleteFile('C:\Documents and Settings\Slava\Local Settings\Application Data\PirritSuggestor\RegFltrX86.sys','32');
     DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
     DeleteFile('C:\Program Files\suptab\search~1.dll','32');
     DeleteFile('C:\Program Files\suptab\search~2.dll','32');
     DeleteFile('C:\Program Files\SupTab\SupTab.dll','32');
     DeleteService('RegFltrX86');
     DeleteService('{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt');
     DeleteService('ttnfd');
     DeleteService('WindowsMangerProtect');
     DeleteService('ttsvc');
     DeleteFileMask('c:\program files\termtutor', '*', true, ' ');
     DeleteFileMask('C:\Documents and Settings\Slava\Local Settings\Application Data\PirritSuggestor', '*', true, ' ');
     DeleteDirectory('c:\program files\termtutor');     
     DeleteDirectory('C:\Documents and Settings\Slava\Local Settings\Application Data\PirritSuggestor');          
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(22);        
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9881
    O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll
    O2 - BHO: TermTutor - {6CB99040-7828-4C37-AC01-F15758F43E4D} - C:\Program Files\TermTutor\IE\TermTutorClientIE.dll
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-18 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'SYSTEM')
    O4 - .DEFAULT Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - .DEFAULT User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - Startup: Как_Расшифровать_Ваши_Файлы.html
    O4 - Global Startup: Как_Расшифровать_Ваши_Файлы.html
    O17 - HKLM\System\CCS\Services\Tcpip\..\{78792DAE-7B13-486D-B514-F1170D08CCFA}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7E1DA2A4-2A0C-4570-A3C6-95B3BDFD366F}: NameServer = 127.0.0.1
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  9. #8
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    8
    Добрый вечер! Все Ваши рекомендации выполнил. Жду дальнейших указаний. (карантин по красной ссылке загружен)
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    А строчки в HiJackThis почему не пофиксили?
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  11. #10
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    8
    Добрый день! Строчки, указанные Вами я пофиксил, возможно лог этот был сделан до фикса.

    Несколько записей "как расшифровать ваши файлы" в секции Q4 не удаляются. Но это не существенно, мне бы дешифровщик, чтобы расшифровать документы и фотографии.

    Вот лог Hijacthis сделанный сегодня утром

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 9:08:59, on 31.10.2014
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\ASUS Wireless Network Utility\RtWLan.exe
    C:\Program Files\Common Files\LogiShrd\LComMgr\LVComSX.exe
    C:\WINDOWS\system32\HPSIsvc.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\hj\Trend Micro\HiJackThis\HiJackThis.exe

    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Labtec\WebCam10\WebCam10.exe" /hide
    O4 - HKLM\..\Run: [Nvtmru] "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nview\nwiz.exe /installquiet
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe"
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WiFiSkype] "C:\Program Files\Asus\AiGuru S1 Utility\AiGuruS1Utility.exe" -autolaunch
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    O4 - HKCU\..\Run: [Infium] "C:\Program Files\QIP 2012\qip.exe" /autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-1659004503-73586283-1801674531-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-18 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'SYSTEM')
    O4 - .DEFAULT Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - .DEFAULT User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - Startup: Psi.lnk = C:\Program Files\Psi\psi.exe
    O4 - Global Startup: ASUS Wireless Network Utility.lnk = ?
    O9 - Extra button: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files\Hewlett-Packard\SmartPrint\smartprintsetup.exe
    O9 - Extra 'Tools' menuitem: SmartPrint - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files\Hewlett-Packard\SmartPrint\smartprintsetup.exe
    O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {DA73BDBB-A643-421A-9035-1FF525419A2F} (SXPTiffPlugIn Control) - https://eportal.daf.com/web5/Rapido/TiffPlugIn.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Kaspersky Endpoint Security Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: HP SI Service (HPSIService) - HP - C:\WINDOWS\system32\HPSIsvc.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
    O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

    --
    End of file - 7471 bytes
    Скрыть
    Последний раз редактировалось thyrex; 31.10.2014 в 18:25.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  13. #12
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    8
    Вот, сделано
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    Папку удалите:

    29.10.2014 09:38:17 ----D---- C:\Documents and Settings\Slava\Application Data\EncR
    С расшифровкой помочь не сможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  15. #14
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    8
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Папку удалите:



    С расшифровкой помочь не сможем.
    В любом случае спасибо. Жаль конечно, где то год назад сталкивался с подобной ситуацией, но там антивирус убил файл вируса, говорили, что он был нужен для создания дешифровщика, в данном случае есть этот файлик. Ну да ладно, еще раз благодарю за попытку

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    41,229
    Вес репутации
    1022
    где то год назад сталкивался с подобной ситуацией, но там антивирус убил файл вируса, говорили, что он был нужен для создания дешифровщика
    Не всегда можно сделать расшифровку по телу шифратора.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Бесплатная защита на 45 дней => https://goo.gl/3BfqlS
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,511
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 29
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Дмитрий Ст, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Файлы зашифрованы Support@casinomtgox. Нужна помощь
      От ALX_1983 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.06.2014, 18:40
    2. Ответов: 9
      Последнее сообщение: 28.05.2014, 23:24
    3. Ответов: 3
      Последнее сообщение: 23.03.2012, 22:31
    4. Зашифрованы фотоматериалы-нужна помощь
      От Vladimir7777 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.02.2012, 20:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00780 seconds with 22 queries