Троян удален на ноутбуке. Вся информация осталась зашифрованной. Можно ли ее дешифровать?
Здравствуйте! Подхватила вирус троян в интернете. Вирус добрые люди удалили, но вся информация осталась зашифрованной. Система работает нормально, ПО не повреждено. Текстовые документы, графика, звук и видео - все зашифровано. Можно ли что-нибудь сделать? Очень важная информация!!! Заранее очень благодарна! Систему проверила дважды, все по инструкции. Высылаю файлы отчетов. Кроме этого, выставила в файлообменник на Яндексе 5 зашифрованных файлов. Ссылки отправляю: https://yadi.sk/d/rXmnbqlwf9YSm https://yadi.sk/d/1g5cRR38f9YTp https://yadi.sk/d/MwZZOBEhf9YV8 https://yadi.sk/d/b8mwsSduf9YVt https://yadi.sk/d/L7vitM5jf9YWZ
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Светлана-Д, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите checkbrowserslnk.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Client Server Runtime Subsystem] => "C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"
HKU\S-1-5-21-527237240-1897051121-1801674531-1003\...\Run: [eTranslator Update] => "C:\Documents and Settings\user\Application Data\eTranslator\eTranslator.exe" -checkforupdates
HKU\S-1-5-21-527237240-1897051121-1801674531-1003\...\Run: [storegid] => C:\Documents and Settings\user\Local Settings\Application Data\storegid\storegid.exe
HKU\S-1-5-21-527237240-1897051121-1801674531-1003\...\Run: [storegidUpdater] => C:\Documents and Settings\user\Local Settings\Application Data\storegid\storegidup.exe
HKU\S-1-5-18\...\RunOnce: [Del21512218] => cmd.exe /Q /D /c del "C:\WINDOWS\TEMP\0.del" <===== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-527237240-1897051121-1801674531-1003 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-527237240-1897051121-1801674531-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-527237240-1897051121-1801674531-1003 -> No Name - {4F524A2D-5354-2D53-5045-7A786E7484D7} - No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File []
FF Extension: No Name - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{e53a26f5-7199-4a5b-86f5-d2e86854b979} [Not Found]
FF Extension: No Name - C:\Documents and Settings\user\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [Not Found]
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-527237240-1897051121-1801674531-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
S2 DatamngrCoordinator; C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [X]
S2 servervo; C:\Documents and Settings\user\Application Data\VOPackage\VOsrv.exe [X] <==== ATTENTION
S1 newdriver; \??\C:\WINDOWS\gigalan.sys [X]
2015-03-05 14:41 - 2015-03-05 14:41 - 00000000 __SHD () C:\Documents and Settings\All Users\Application Data\Windows
2014-12-24 23:42 - 2015-02-08 13:59 - 00000008 __RSH () C:\Documents and Settings\All Users\ntuser.pol
2014-12-24 23:41 - 2008-04-15 19:00 - 00634648 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2014-08-28 16:32 - 2014-08-28 16:32 - 0000000 _____ () C:\Documents and Settings\user\Application Data\smw_inst
2014-08-27 18:50 - 2014-08-27 18:50 - 0000156 ____H () C:\Documents and Settings\user\Local Settings\Application Data\go_internet.bat
2014-08-27 18:50 - 2014-10-02 17:55 - 0000162 ____H () C:\Documents and Settings\user\Local Settings\Application Data\run_chrome.bat
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At4.job
C:\Documents and Settings\user\Local Settings\Temp\75400uninstall.exe
C:\Documents and Settings\user\Local Settings\Temp\amigo_setup.exe
C:\Documents and Settings\user\Local Settings\Temp\APNSetup.exe
C:\Documents and Settings\user\Local Settings\Temp\AskSLib.dll
C:\Documents and Settings\user\Local Settings\Temp\avgnt.exe
C:\Documents and Settings\user\Local Settings\Temp\avguidx.dll
C:\Documents and Settings\user\Local Settings\Temp\CommonInstaller.exe
C:\Documents and Settings\user\Local Settings\Temp\difxapi.dll
C:\Documents and Settings\user\Local Settings\Temp\dotnetfx35setup.exe
C:\Documents and Settings\user\Local Settings\Temp\E99.exe
C:\Documents and Settings\user\Local Settings\Temp\GenericWndApi.dll
C:\Documents and Settings\user\Local Settings\Temp\GuardMailRu.exe
C:\Documents and Settings\user\Local Settings\Temp\hpzmsi01.exe
C:\Documents and Settings\user\Local Settings\Temp\hpzscr01.EXE
C:\Documents and Settings\user\Local Settings\Temp\iGearedHelper.dll
C:\Documents and Settings\user\Local Settings\Temp\Internet.exe
C:\Documents and Settings\user\Local Settings\Temp\Internet_1.exe
C:\Documents and Settings\user\Local Settings\Temp\javaSetup.exe
C:\Documents and Settings\user\Local Settings\Temp\MachineIdCreator.exe
C:\Documents and Settings\user\Local Settings\Temp\mailrusputnik.exe
C:\Documents and Settings\user\Local Settings\Temp\MailRuUpdater.exe
C:\Documents and Settings\user\Local Settings\Temp\MRT.exe
C:\Documents and Settings\user\Local Settings\Temp\oi_{04181FF4-7B67-443F-8DF6-58214B4B84D8}.exe
C:\Documents and Settings\user\Local Settings\Temp\ose00000.exe
C:\Documents and Settings\user\Local Settings\Temp\ose00001.exe
C:\Documents and Settings\user\Local Settings\Temp\Quarantine.exe
C:\Documents and Settings\user\Local Settings\Temp\RUpdate.exe
C:\Documents and Settings\user\Local Settings\Temp\RUpdate_r33.exe
C:\Documents and Settings\user\Local Settings\Temp\sender.exe
C:\Documents and Settings\user\Local Settings\Temp\Setup-yabrowser.exe
C:\Documents and Settings\user\Local Settings\Temp\SkypeSetup.exe
C:\Documents and Settings\user\Local Settings\Temp\sqlite3.dll
C:\Documents and Settings\user\Local Settings\Temp\tmp1153.exe
C:\Documents and Settings\user\Local Settings\Temp\tmp1162.exe
C:\Documents and Settings\user\Local Settings\Temp\tmpE83.exe
C:\Documents and Settings\user\Local Settings\Temp\ToolbarInstaller.exe
C:\Documents and Settings\user\Local Settings\Temp\yupdate-exec-yabrowser.exe
C:\Documents and Settings\user\Local Settings\Temp\_is41.exe
C:\Documents and Settings\user\Local Settings\Temp\_is742.exe
C:\Documents and Settings\user\Local Settings\Temp\_is743.exe
C:\Documents and Settings\user\Local Settings\Temp\_is84B.exe
Task: C:\windows\Tasks\At2.job => C:\DOCUME~1\user\APPLIC~1\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\windows\Tasks\At4.job => C:\DOCUME~1\NETWOR~1\APPLIC~1\METACR~1\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:AF4CCAAD
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Антивирус Касперского был установлен уже после заражения шифратором?