Добрый день.
Компьютер был заражен вирусом, который пришел в письме по электронной почте с заголовком "Вам письмо от судебных приставов." В письме был вложен файл Word, которое содержало вирус, который зашифровал все файлы .doc, .xls, .pdf на компьютере.
Помогите, пожалуйста, расшифровать файлы.
Протокол исследования системы собранный с помощью утилит AVZ, HijackThis и несколько зашифрованных файлов высылаю во вложении.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) vovanza, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\PROGRA~2\Mozilla\bokjwdg.exe','');
DeleteFile('C:\Windows\system32\Tasks\DSite','32');
DeleteFile('C:\PROGRA~2\Mozilla\bokjwdg.exe','32');
DeleteFile('C:\Windows\system32\Tasks\kwpregl','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Код:
R3 - URLSearchHook: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-1806475852-205186627-2955252444-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.iminent.com/?appId=68C62DCF-9EA6-42DA-899F-598963693F7B&ref=toolbox&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1806475852-205186627-2955252444-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.iminent.com/?appId=68C62DCF-9EA6-42DA-899F-598963693F7B&ref=toolbox&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1806475852-205186627-2955252444-1000 -> {CB877A40-07CB-49A0-8C1A-3AABEC64B0A8} URL = http://search.iminent.com/?appId=68C62DCF-9EA6-42DA-899F-598963693F7B&ref=toolbox&q={searchTerms}
BHO: No Name -> {84FF7BD6-B47F-46F8-9130-01B2696B36CB} -> No File
Toolbar: HKU\.DEFAULT -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-1806475852-205186627-2955252444-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HomePage: Default -> hxxp://search.iminent.com/?appId=68C62DCF-9EA6-42DA-899F-598963693F7B
CHR DefaultSearchKeyword: Default -> search.iminent.com
CHR HKLM\...\Chrome\Extension: [igdhbblpcellaljokkpfhcjlagemhgjl] - "C:\Program Files\Iminent\Iminent.crx" [Not Found]
Folder: C:\Program Files\1
Task: {0388809F-1D93-4029-9D14-E72ECCDCBDE9} - \kwpregl No Task File <==== ATTENTION
Task: {2B4A7E75-104B-471A-87B3-3340A56D6FE2} - \DSite No Task File <==== ATTENTION
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: