Показано с 1 по 10 из 10.

Зашифрованы файлы [email protected] 0.0.1.0.id (заявка № 184458)

  1. #1
    Junior Member Репутация
    Регистрация
    29.05.2015
    Сообщений
    4
    Вес репутации
    33

    Зашифрованы файлы [email protected] 0.0.1.0.id

    Доброго времени суток!
    На почту пользователя пришло письмо, якобы от поставшика продукции. После открытия вложения в письме, файлы зашифровались с названиями типа:
    [email protected]-CL 0.0.1.0.id-QYDHOTYDIMRWBGLQVAFJOTYDINSXBGLQVAFK-27.05.2015 10@[email protected]

    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Pesec151, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
    QuarantineFile('C:\Program Files\torrent search\interfaces32.dll','');
     QuarantineFile('C:\Program Files\torrent search\basement\extensionupdaterservice.exe','');
     QuarantineFile('C:\Program Files\torrent search\backgroundsingleton.exe','');
     QuarantineFile('C:\Program Files\media saver\interfaces32.dll','');
     QuarantineFile('C:\Program Files\media saver\basement\mslserver.exe','');
     QuarantineFile('C:\Program Files\media saver\basement\extensionupdaterservice.exe','');
     QuarantineFile('C:\Program Files\media saver\backgroundsingleton.exe','');
     QuarantineFile('C:\Program Files\Torrent Search\Zij6zZq0Wo.exe','');
     QuarantineFile('C:\Program Files\Media Saver\A1s1Vv0T9w.exe','');
     QuarantineFile('C:\opera.bat','');
     QuarantineFile('C:\iexplore.bat','');
     QuarantineFile('C:\Program Files\videocodec.exe','');
     SetServiceStart('MSLSService', 4);
     DeleteService('MSLSService');
     TerminateProcessByName('c:\program files\media saver\basement\mslsservice.exe');
     QuarantineFile('c:\program files\media saver\basement\mslsservice.exe','');
     TerminateProcessByName('c:\program files\media saver\basement\mslserver.exe');
     QuarantineFile('c:\program files\media saver\basement\mslserver.exe','');
     DeleteFile('c:\program files\media saver\basement\mslserver.exe','32');
     DeleteFile('c:\program files\media saver\basement\mslsservice.exe','32');
     DeleteFile('C:\Program Files\videocodec.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
     DeleteFile('C:\iexplore.bat','32');
     DeleteFile('C:\opera.bat','32');
     DeleteFile('C:\Program Files\Media Saver\A1s1Vv0T9w.exe','32');
     DeleteFile('C:\WINDOWS\Tasks\Update Service for Media Saver.job','32');
     DeleteFile('C:\WINDOWS\Tasks\Update Service for Media Saver2.job','32');
     DeleteFile('C:\Program Files\Torrent Search\Zij6zZq0Wo.exe','32');
     DeleteFile('C:\WINDOWS\Tasks\Update Service for Torrent Search.job','32');
     DeleteFile('C:\WINDOWS\Tasks\Update Service for Torrent Search2.job','32');
     DeleteFile('C:\Program Files\media saver\backgroundsingleton.exe','32');
     DeleteFile('C:\Program Files\media saver\basement\extensionupdaterservice.exe','32');
     DeleteFile('C:\Program Files\media saver\basement\mslserver.exe','32');
     DeleteFile('C:\Program Files\media saver\interfaces32.dll','32');
     DeleteFile('C:\Program Files\torrent search\backgroundsingleton.exe','32');
     DeleteFile('C:\Program Files\torrent search\basement\extensionupdaterservice.exe','32');
     DeleteFile('C:\Program Files\torrent search\interfaces32.dll','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.



    Сделайте новые логи по правилам
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    29.05.2015
    Сообщений
    4
    Вес репутации
    33
    Доброго времени суток!
    Запрашиваемый карантин отправил.
    Ниже прикреплен LOG о работе ClearLNK.
    Что делать дальше? Жду инструкций.
    С уважением, Pesec151.
    Вложения Вложения

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    29.05.2015
    Сообщений
    4
    Вес репутации
    33
    Доброго времени суток!
    Выполнил.
    Ниже прикреплен отчеты FRST и Addition
    Жду инструкций.
    С уважением, Pesec151.
    Вложения Вложения

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
    Код:
    CreateRestorePoint:
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-789336058-1897051121-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f2aa549a69e96cbdff265912b02e669a&text={searchTerms}
    HKU\S-1-5-21-789336058-1897051121-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f2aa549a69e96cbdff265912b02e669a&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-789336058-1897051121-725345543-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f2aa549a69e96cbdff265912b02e669a&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-789336058-1897051121-725345543-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f2aa549a69e96cbdff265912b02e669a&text=
    Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} -  No File
    Toolbar: HKU\S-1-5-21-789336058-1897051121-725345543-1003 -> No Name - {A057A204-BACC-4D26-9990-79A187E2698E} -  No File
    Toolbar: HKU\S-1-5-21-789336058-1897051121-725345543-1003 -> No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} -  No File
    Handler: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} -  No File
    Handler: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} -  No File
    Handler: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} -  No File
    DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=f2aa549a69e96cbdff265912b02e669a&text= <==== ATTENTION
    2015-05-27 12:12 - 2015-05-27 12:12 - 00156286 _____ () C:\Program Files\desk1.bmp
    2015-05-27 10:20 - 2015-05-27 11:56 - 00000081 _____ () C:\Program Files\VOYXIUONTI.LMQ
    2015-05-27 10:19 - 2015-05-27 10:19 - 00000000 ____D () C:\Program Files\Информационные технологии РФ
    Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    29.05.2015
    Сообщений
    4
    Вес репутации
    33
    Доброго времени суток!
    Выполнил.
    Ниже прикреплен log

    С уважением, Pesec151.
    Вложения Вложения

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 0
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Pesec151, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. зашифрованы файлы [email protected]
      От Игорь Гафаров в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 17.03.2015, 11:18
    2. Ответов: 8
      Последнее сообщение: 11.08.2014, 01:14
    3. Вирус зашифровал фаилы. [email protected]
      От Kap1ch в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 07.08.2014, 21:13
    4. Зашифрованы файлы помогие!!! TrojanEncoder.293
      От Andrsoon в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.04.2014, 12:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01445 seconds with 18 queries