OC: Win7 64
Логи во вложении
Все док, pdf, jpeg файлы поменяли имя и расширение на *[email protected]/
Kaspersry Security Scan обнаружил:
"Trojan-Ransom.Win32.Crypren.qjt6C15.tmp
C:\Users\Magrib\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup
Trojan-Ransom.Win32.Crypren.qjt
6C15.tmp
C:\Documents and Settings\Magrib\AppData\Roaming\Microsoft\Windows\ Start Menu\Programs\Startup"
При запуске системы открывается рисунок *bmp, типа: "бла-бла-бла, система повреждена, скидка 20%,[email protected]" На письмо в адрес [email protected] не отвечают.
На диске С файлы восстановились путем отката к ранним версиям. На других дисках, функция отката была отключена...ппц...
Помогите!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Magrib, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
1. Сделал 2 скрипта. Читаю Приложение 2. Как прислать запрошенные файлы.
Запустите AVZ, выберите в меню "Файл" -> "Просмотр карантина".
Справа в списке файлов отметьте те файлы, которые нужно выслать". У меня файлов справа НЕТ! Папка с карантином в АВЗ пустая. архив карантина тоже пустой.
2. Остальное - прикрепил
P.S. еще раз провел все диски AVZ, выполнил 2 скрипта заново - в карантине появились файлы.
Карантин отправил.
Последний раз редактировалось Magrib; 20.03.2015 в 01:16.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
Toolbar: HKU\S-1-5-21-3044827141-3715015111-1485060659-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
CHR HKLM-x32\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - No Path Or update_url value
2015-02-23 10:43 - 2015-03-01 09:45 - 00000000 ____D () C:\Users\Magrib\AppData\Local\Kometa
2015-02-23 10:39 - 2015-02-23 10:39 - 00000000 ____D () C:\Users\Magrib\AppData\Local\Вoйти в Интeрнет 2inf.net
2015-02-23 10:31 - 2015-02-23 10:31 - 00000000 ____D () C:\Users\Magrib\AppData\Local\Поиcк в Интeрнете
2015-02-23 10:30 - 2015-02-23 11:12 - 00000000 ____D () C:\Users\Magrib\AppData\Local\SystemDir
Task: {91823597-D332-443A-AC16-837C15812EC1} - \nethost task No Task File <==== ATTENTION
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
На вопросы в личке больше не отвечаю. Из техподдержки Dr.Web прислали программу te225decrypt.exe и еще файл без расширения te225pass. Запустил, указал путь к любому зашифрованному файлу с расширением doc, процесс пошел. Всем удачи!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: