Показано с 1 по 16 из 16.

Зашифрованы документы и изображения, нужна помощь (заявка № 169700)

  1. #1
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    35

    Зашифрованы документы и изображения, нужна помощь

    Доброго дня!
    Сегодня мой коллега получил письмо с вложенным архивом Zakaz.zip в котором лежал файл zakaz.scr. Фаил был запущен им собственноручно, в итоге все документы оказались зашифрованными, в командной строке запуска всех браузеров появились дополнительные параметры, в каждой папке создан файл "Как расшифровать ваши файлы" открывающий англоязычный сайт с переходом на список каких то платежных систем.
    Что сделано: сохранен присланный архив, компьютер проверен Касперским эндпоинт секюрити с сохранением лога сканирования, AVZ. Все логи сохранены. На файлообменнике в архиве SlavaCript.zip есть примеры файлов, сам шифровальщик, присланный по почте, логи всех утиллит. Есть ли шанс расшифровать содержимое компьютера?



    ссылка на архив, архив под паролем, пароль 1111
    Последний раз редактировалось mike 1; 29.10.2014 в 13:32. Причина: Вирусная ссылка

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Дмитрий Ст, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Тоже бесплатный Аваст небось установлен?

    Логи загружайте на форум. Нужных логов AVZ по вашей ссылке я не увидел.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    35
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Тоже бесплатный Аваст небось установлен?

    Логи загружайте на форум. Нужных логов AVZ по вашей ссылке я не увидел.

    Не Аваст, я написал про касперского.
    Эти логи?
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Да только лога HiJackThis не хватает.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    35
    Он в архиве по первой ссылке

    удалили ссылку...

    Скрытый текст

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 12:36:30, on 29.10.2014
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Labtec\WebCam10\WebCam10.exe
    C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Asus\AiGuru S1 Utility\AiGuruS1Utility.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\QIP 2012\qip.exe
    C:\Program Files\ASUS Wireless Network Utility\RtWLan.exe
    C:\Program Files\Psi\psi.exe
    C:\WINDOWS\system32\HPSIsvc.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\TermTutor\Service\ttsvc.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe
    C:\Program Files\Common Files\LogiShrd\LComMgr\LVComSX.exe
    C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Total Commander Podarok Edition\TOTALCMD.EXE
    C:\Program Files\The Bat!\thebat.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Program Files\hj\Trend Micro\HiJackThis\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ui.skype.com/ui/0/4.1.0.166./ru/download
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9881
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
    O1 - Hosts: 80.94.235.2 aion.iptel.by
    O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll
    O2 - BHO: TermTutor - {6CB99040-7828-4C37-AC01-F15758F43E4D} - C:\Program Files\TermTutor\IE\TermTutorClientIE.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Labtec\WebCam10\WebCam10.exe" /hide
    O4 - HKLM\..\Run: [Nvtmru] "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nview\nwiz.exe /installquiet
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe"
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WiFiSkype] "C:\Program Files\Asus\AiGuru S1 Utility\AiGuruS1Utility.exe" -autolaunch
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    O4 - HKCU\..\Run: [Infium] "C:\Program Files\QIP 2012\qip.exe" /autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-1659004503-73586283-1801674531-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-18 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'SYSTEM')
    O4 - .DEFAULT Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - .DEFAULT User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - Startup: Psi.lnk = C:\Program Files\Psi\psi.exe
    O4 - Startup: Как_Расшифровать_Ваши_Файлы.html
    O4 - Global Startup: ASUS Wireless Network Utility.lnk = ?
    O4 - Global Startup: Как_Расшифровать_Ваши_Файлы.html
    O9 - Extra button: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files\Hewlett-Packard\SmartPrint\smartprintsetup.exe
    O9 - Extra 'Tools' menuitem: SmartPrint - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files\Hewlett-Packard\SmartPrint\smartprintsetup.exe
    O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {DA73BDBB-A643-421A-9035-1FF525419A2F} (SXPTiffPlugIn Control) - https://eportal.daf.com/web5/Rapido/TiffPlugIn.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{78792DAE-7B13-486D-B514-F1170D08CCFA}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7E1DA2A4-2A0C-4570-A3C6-95B3BDFD366F}: NameServer = 127.0.0.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O22 - SharedTaskScheduler: Предзагрузчик Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Kaspersky Endpoint Security Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: HP SI Service (HPSIService) - HP - C:\WINDOWS\system32\HPSIsvc.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
    O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Term Tutor Client Service (ttsvc) - Term Tutor - C:\Program Files\TermTutor\Service\ttsvc.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: WindowsMangerProtect Service (WindowsMangerProtect) - Fuyu LIMITED - C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

    --
    End of file - 10925 bytes
    Скрыть
    Последний раз редактировалось thyrex; 29.10.2014 в 18:14.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin    
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;   
     TerminateProcessByName('c:\program files\termtutor\service\ttsvc.exe');
     TerminateProcessByName('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe');
     SetServiceStart('{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt', 4);
     SetServiceStart('ttnfd', 4);
     SetServiceStart('WindowsMangerProtect', 4);
     SetServiceStart('ttsvc', 4);
     StopService('{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt');
     StopService('ttnfd');
     StopService('WindowsMangerProtect');
     StopService('ttsvc');
     QuarantineFile('C:\Program Files\suptab\suptab.dll','');
     QuarantineFile('C:\Program Files\suptab\search~2.dll','');
     QuarantineFile('C:\Program Files\suptab\search~1.dll','');
     QuarantineFile('C:\Program Files\suptab\dpinterface32.dll','');
     QuarantineFile('C:\Documents and Settings\Slava\Local Settings\Application Data\PirritSuggestor\RegFltrX86.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\ttnfd.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gt.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt.sys','');
     QuarantineFile('c:\program files\termtutor\service\ttsvc.exe','');
     QuarantineFile('c:\documents and settings\all users\application data\windowsmangerprotect\protectwindowsmanager.exe','');
     DeleteFile('C:\WINDOWS\system32\drivers\{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt.sys','32');
     DeleteFile('C:\WINDOWS\system32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gt.sys','32');
     DeleteFile('C:\Program Files\TermTutor\Service\ttsvc.exe','32');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe','32');
     DeleteFile('C:\WINDOWS\system32\drivers\ttnfd.sys','32');
     DeleteFile('C:\Documents and Settings\Slava\Local Settings\Application Data\PirritSuggestor\RegFltrX86.sys','32');
     DeleteFile('C:\Program Files\suptab\dpinterface32.dll','32');
     DeleteFile('C:\Program Files\suptab\search~1.dll','32');
     DeleteFile('C:\Program Files\suptab\search~2.dll','32');
     DeleteFile('C:\Program Files\SupTab\SupTab.dll','32');
     DeleteService('RegFltrX86');
     DeleteService('{825c5be7-672f-4c14-9929-48a3a5e1a660}Gt');
     DeleteService('ttnfd');
     DeleteService('WindowsMangerProtect');
     DeleteService('ttsvc');
     DeleteFileMask('c:\program files\termtutor', '*', true, ' ');
     DeleteFileMask('C:\Documents and Settings\Slava\Local Settings\Application Data\PirritSuggestor', '*', true, ' ');
     DeleteDirectory('c:\program files\termtutor');     
     DeleteDirectory('C:\Documents and Settings\Slava\Local Settings\Application Data\PirritSuggestor');          
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
     ExecuteRepair(22);        
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&t...S0URJ9DPB11762
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sweet-page.com/web/?type=ds&ts=1414565351&from=cor&uid=SAMSUNGXHD250HJ_S0URJ9DPB11762&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9881
    O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll
    O2 - BHO: TermTutor - {6CB99040-7828-4C37-AC01-F15758F43E4D} - C:\Program Files\TermTutor\IE\TermTutorClientIE.dll
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-18 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'SYSTEM')
    O4 - .DEFAULT Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - .DEFAULT User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - Startup: Как_Расшифровать_Ваши_Файлы.html
    O4 - Global Startup: Как_Расшифровать_Ваши_Файлы.html
    O17 - HKLM\System\CCS\Services\Tcpip\..\{78792DAE-7B13-486D-B514-F1170D08CCFA}: NameServer = 127.0.0.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7E1DA2A4-2A0C-4570-A3C6-95B3BDFD366F}: NameServer = 127.0.0.1
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.


    Подробнее читайте в этом руководстве.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  9. #8
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    35
    Добрый вечер! Все Ваши рекомендации выполнил. Жду дальнейших указаний. (карантин по красной ссылке загружен)
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    А строчки в HiJackThis почему не пофиксили?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. #10
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    35
    Добрый день! Строчки, указанные Вами я пофиксил, возможно лог этот был сделан до фикса.

    Несколько записей "как расшифровать ваши файлы" в секции Q4 не удаляются. Но это не существенно, мне бы дешифровщик, чтобы расшифровать документы и фотографии.

    Вот лог Hijacthis сделанный сегодня утром

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 9:08:59, on 31.10.2014
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\ASUS Wireless Network Utility\RtWLan.exe
    C:\Program Files\Common Files\LogiShrd\LComMgr\LVComSX.exe
    C:\WINDOWS\system32\HPSIsvc.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\hj\Trend Micro\HiJackThis\HiJackThis.exe

    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Labtec\WebCam10\WebCam10.exe" /hide
    O4 - HKLM\..\Run: [Nvtmru] "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nview\nwiz.exe /installquiet
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe"
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WiFiSkype] "C:\Program Files\Asus\AiGuru S1 Utility\AiGuruS1Utility.exe" -autolaunch
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
    O4 - HKCU\..\Run: [Infium] "C:\Program Files\QIP 2012\qip.exe" /autorun
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-21-1659004503-73586283-1801674531-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-21-1659004503-73586283-1801674531-1006 User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'UpdatusUser')
    O4 - S-1-5-18 Startup: Как_Расшифровать_Ваши_Файлы.html (User 'SYSTEM')
    O4 - .DEFAULT Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - .DEFAULT User Startup: Как_Расшифровать_Ваши_Файлы.html (User 'Default user')
    O4 - Startup: Psi.lnk = C:\Program Files\Psi\psi.exe
    O4 - Global Startup: ASUS Wireless Network Utility.lnk = ?
    O9 - Extra button: HP Smart Print - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files\Hewlett-Packard\SmartPrint\smartprintsetup.exe
    O9 - Extra 'Tools' menuitem: SmartPrint - {22CC3EBD-C286-43aa-B8E6-06B115F74162} - C:\Program Files\Hewlett-Packard\SmartPrint\smartprintsetup.exe
    O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {DA73BDBB-A643-421A-9035-1FF525419A2F} (SXPTiffPlugIn Control) - https://eportal.daf.com/web5/Rapido/TiffPlugIn.ocx
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0BD91903-054C-4D65-A5A9-7606EA72DB75}: NameServer = 192.168.15.1
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O22 - SharedTaskScheduler: Демон кэша категорий компонентов - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Kaspersky Endpoint Security Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe
    O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Служба Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: Служба Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
    O23 - Service: HP SI Service (HPSIService) - HP - C:\WINDOWS\system32\HPSIsvc.exe
    O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe
    O23 - Service: LVSrvLauncher - Labtec Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
    O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
    O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
    O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
    O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
    O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
    O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
    O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

    --
    End of file - 7471 bytes
    Скрыть
    Последний раз редактировалось thyrex; 31.10.2014 в 18:25.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    1. Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите sitlog.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
    5. По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
    6. Прикрепите эти отчеты в вашей теме.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #12
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    35
    Вот, сделано
    Вложения Вложения

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Папку удалите:

    29.10.2014 09:38:17 ----D---- C:\Documents and Settings\Slava\Application Data\EncR
    С расшифровкой помочь не сможем.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #14
    Junior Member Репутация
    Регистрация
    29.10.2014
    Сообщений
    7
    Вес репутации
    35
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Папку удалите:



    С расшифровкой помочь не сможем.
    В любом случае спасибо. Жаль конечно, где то год назад сталкивался с подобной ситуацией, но там антивирус убил файл вируса, говорили, что он был нужен для создания дешифровщика, в данном случае есть этот файлик. Ну да ладно, еще раз благодарю за попытку

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    где то год назад сталкивался с подобной ситуацией, но там антивирус убил файл вируса, говорили, что он был нужен для создания дешифровщика
    Не всегда можно сделать расшифровку по телу шифратора.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 29
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Дмитрий Ст, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Файлы зашифрованы Support@casinomtgox. Нужна помощь
      От ALX_1983 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.06.2014, 18:40
    2. Ответов: 9
      Последнее сообщение: 28.05.2014, 23:24
    3. Ответов: 3
      Последнее сообщение: 23.03.2012, 22:31
    4. Зашифрованы фотоматериалы-нужна помощь
      От Vladimir7777 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 14.02.2012, 20:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00626 seconds with 20 queries