Зашифрованы файлы с расширением ...btcpay@aol помогите, пожалуйста. [P2P-Worm.Win32.Palevo.hrlt
]
Здравствуйте, компьютер непонятно как заразился (зашифровались файлы) - стоял в основном как файлообменник (windows .
Увидели проблему когда появилась надпись на рабочем столе:
"Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована.
Все зашифрованные файлы имеют расширение [email protected]
Ни в коем случае не изменяйте файлы!
И не используйте чужие дешифраторы, ....
Вы можете потерять Ваши файлы навсегда.
Через 48 часов ваш пароль будет удалён из базы.
Напишите письмо на адрес [email protected], чтобы узнать как получить дешифратор.
....... "
Файлы получили расширение id-1570789782_btcpay@aol
Прогнал (не лечил и не удалял) cureit_ом:
обнаружил только:
Trojan.packed.31070
Trojan.LoadMoney.634
Trojan.LoadMoney.681
BAT.Hosts.147
Вытащил файлы из 2 недельной теневой копии - расширения нет, но так же вероятно зашифрованы: https://yadi.sk/d/9RLqmBqkh2xjj
Прошу помощи....
Последний раз редактировалось ristons; 02.06.2015 в 17:25.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ristons, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-433895352-4238567349-2807521334-1001\...\Run: [KometaAutoLaunch_AA6866A11F41B448D122596B48E4CE54] => "C:\Users\Admin\AppData\Local\Kometa\Application\kometa.exe" --no-startup-window
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-433895352-4238567349-2807521334-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\cmfsqghr.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\cmfsqghr.default\extensions\{f80bc79c-ab5e-418a-a0be-3d9e66b4e976} [not found]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\cmfsqghr.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\cmfsqghr.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\cmfsqghr.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR HKLM-x32\...\Chrome\Extension: [adalmamknlbmfakldkganajlocnkkgff] - C:\Users\Admin\AppData\Local\Temp\adalmamknlbmfakldkganajlocnkkgff.crx [2014-01-13]
CHR HKLM-x32\...\Chrome\Extension: [keinkhgnlckanellohdllejmhipfocmi] - C:\Users\Admin\AppData\Local\Temp\keinkhgnlckanellohdllejmhipfocmi.crx [2014-01-13]
CHR HKLM-x32\...\Chrome\Extension: [lmkeljmlecjkakkekfebmhmahhhflonf] - C:\Users\Admin\AppData\Local\Temp\lmkeljmlecjkakkekfebmhmahhhflonf.crx [2014-01-13]
2015-05-19 18:09 - 2015-05-25 08:45 - 00310662 _____ C:\Users\Admin\AppData\Roaming\btcpay.bmp
C:\Users\Admin\AppData\Local\Temp\vuupc.exe
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: