Помогите! Вирус зашифровал все мои файлы в формат .txt и .xtbl [not-a-virus:RiskTool.Win32.BitCoinMiner.wzo, Backdoor.Win32.Androm.fzss
]
На протяжении часовой работы компьютера ничего странного не замечалось, но в один момент изменился формат совершенно всех файлов на .txt и .xtbl и изменилась картинка раб.стола. На этом черном фоне имеется надпись "Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков". Открыв эти файлы, я обнаружил контакты этих нехороших людей. Посмотрев на форуме, я убедился в том, что таких проблем не мало. Если это чем-то поможет, то у меня Win7 32bit. Зашифрованные файлы очень дороги и важны для меня. Пожалуйста, помогите мне!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) BeaverO_0, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\User\appdata\roaming\x11\engine.exe','');
QuarantineFile('C:\Users\User\AppData\Local\Temp\A979.tmp','');
DeleteFile('C:\Users\User\AppData\Local\Temp\A979.tmp','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Windows\Tasks\Dealply.job','32');
DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job','32');
DeleteFile('C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job','32');
DeleteFile('C:\Windows\system32\Tasks\Dealply','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineCore','32');
DeleteFile('C:\Windows\system32\Tasks\DealPlyLiveUpdateTaskMachineUA','32');
DeleteFile('C:\Users\User\appdata\roaming\x11\engine.exe','32');
DeleteFileMask('C:\Users\User\appdata\roaming\x11', '*', true, ' ');
DeleteDirectory('C:\Users\User\appdata\roaming\x11');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
O2 - BHO: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - (no file)
O4 - Global Startup: G-9o25SBoG3XyAd+wD83VtxAvybGrMb3KYPKgu7bn80=.xtbl
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: