-
Junior Member
- Вес репутации
- 34
Доброго времени суток!
Файлы на ПК зашифровались, и переименовались
например 1Cv7_150125.zip.id-{VEOQGICFZBOUIOMSGFLJXDCIVBAGTZYESYWC-15.02.2015 5@07@416114300}[email protected]
За дешифровку запрашивают 1000$
Пароли на учетки ОС сменил, провел диагностику. Прошу проверить - устранена-ли проблема?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) LookingBal, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 34
Eset Online Scanner находит на системном разделе файлы, инфицированные Win32/Parite.C вирусом
-
Внимание !!! База поcледний раз обновлялась 23.02.2014 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Базы обновите. Сделайте новые логи
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
mike 1
Базы обновите. Сделайте новые логи
Извиняюсь, базы обновил, новые скрипты сделал
- - - - -Добавлено - - - - -
лог uvs во вложении
-
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Все приехали. Сервер заражен Parite. Вы дешифратор от злоумышленника случайно не запускали?
Лечитесь так http://support.kaspersky.ru/8093, потом делайте новые логи.
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
mike 1
Все приехали. Сервер заражен Parite. Вы дешифратор от злоумышленника случайно не запускали?
Лечитесь так
http://support.kaspersky.ru/8093, потом делайте новые логи.
спасибо! дешифратор не запускали, сейчас записываю диск, буду лечиться.
- - - - -Добавлено - - - - -
к сожалению у меня raid-10 через pci-контроллер. и Kaspersky Rescue disk не видит мои диски. есть еще варианты борьбы с этим вирусом?
- - - - -Добавлено - - - - -
Сообщение от
LookingBal
к сожалению у меня raid-10 через pci-контроллер. и Kaspersky Rescue disk не видит мои диски. есть еще варианты борьбы с этим вирусом?
или может можно как-то заставить Kaspersky Rescue disk видеть мою дисковую подсистему?
- - - - -Добавлено - - - - -
запустил на другом ПК Kaspersky Rescue disk, где также заражение и обычная дисковая подсистема. при сканировании много записей Обнаружено Worm.Win32.Autolt.agm и Virus.Win32.Parite.c, а также Trojan-Downloader.Win32.Agent.aatfj. НО при этом Kaspersky Rescue Disk пишет - Не вылечено. Отложено.
Это, что значит. что лечение невозможно?
-
Это, что значит. что лечение невозможно?
Нет, скорее всего он в конце будет выполнять лечение найденных объектов.
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
mike 1
Нет, скорее всего он в конце будет выполнять лечение найденных объектов.
спасибо!как-же мне с сервером быть? как заставить Kaspersky Rescue Disk увидеть рейд-массив? или может есть другой способ лечения?
-
как заставить Kaspersky Rescue Disk увидеть рейд-массив?
Не знаю, я не часто с LiveCD дисками работаю.
или может есть другой способ лечения?
Можете попробовать так http://www.freedrweb.com/livedisk/ пролечиться.
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
mike 1
спасибо! качаю, попробую. я ночью пробовал CureIt лечиться, он видит этот вирус как Win32.Parite.3
-
Сообщение от
LookingBal
спасибо! качаю, попробую. я ночью пробовал CureIt лечиться, он видит этот вирус как Win32.Parite.3
Нужно лечиться именно с LiveCD диска. Cureit не справится с ним так как вирус заражает исполняемые exe файлы.
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
mike 1
Все приехали. Сервер заражен Parite. Вы дешифратор от злоумышленника случайно не запускали?
Лечитесь так
http://support.kaspersky.ru/8093, потом делайте новые логи.
в итоге снял образ с рейд-массива и восстановил на чистый одиночный hdd, и провел лечение с помощью http://support.kaspersky.ru/8093 и http://www.freedrweb.com/livedisk/
выкладываю логи
-
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
mike 1
Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
сканирование согласно инструкции провел, лог во вложении
-
В MBAM удалите все найденное. С расшифровкой помочь не сможем, возможно смогут помочь в DrWeb, но не сразу.
-
-
Junior Member
- Вес репутации
- 34
Сообщение от
mike 1
В MBAM удалите все найденное. С расшифровкой помочь не сможем, возможно смогут помочь в DrWeb, но не сразу.
спасибо огромное за помощь!
можно еще уточнить - как вложения удалять? а то мне пришлось новый логин создавать, так как в предыдущем во вложениях свободное место закончилось, а как удалить вложения, или увеличить место под них, так и не смог разобраться.
-
можно еще уточнить - как вложения удалять?
Мой кабинет => Вложения.
-
-
Junior Member
- Вес репутации
- 34
в целом ОС сейчас работает. но в каталоге Temp автоматически создается файл getpaths.cmd с содержанием
SET COMMON_START_MENU=C:\Documents and Settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о
SET COMMON_STARTUP=C:\Documents and Settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*
SET COMMON_PROGRAMS=C:\Documents and Settings\All Users\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л
SET USER_START_MENU=C:\Documents and Settings\Ђ¤¬Ё*Ёбва*в®а\ѓ«*ў*®Ґ ¬Ґ*о
SET USER_STARTUP=C:\Documents and Settings\Ђ¤¬Ё*Ёбва*в®а\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*
SET USER_PROGRAMS=C:\Documents and Settings\Ђ¤¬Ё*Ёбва*в®а\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л
это не вирус?
-
-