Доброго времени суток. Заразили компьютер вирусом шифровальщиком, нашёл тему у вас по данной версии шифровальщика.
Ноутбук принесли из офиса, попросили посмотреть. Глянул и понял, что обращаться нужно к специалистам. Так как файлы на всех дисках зашифрованы. Естественно всем ясно что там важные отчеты и данные в текстовом и графическом виде.
Прошу у вас поддержки в этом вопросе.
С уважением Роман
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) snupix, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Файл карантина загружен. Был ли он получен? (Результат загрузкиФайл сохранён как 150603_035049_virus_556e4159c1476.zip
Размер файла 303414
MD5 f29d2892367b454d0b86daa068db6efd
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-527237240-448539723-1606980848-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-527237240-448539723-1606980848-500 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - No File
CHR HKLM\...\Chrome\Extension: [clpdgmdkdnijjbgmnajolnbnjejoeogm] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2014-02-03]
CHR HKLM\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
U3 agrcqpod; \??\C:\DOCUME~1\Admin\LOCALS~1\Temp\agrcqpod.sys [X]
NETSVC: vriaov -> No Registry Path.
2015-06-01 11:45 - 2015-06-01 15:44 - 00000081 _____ () C:\Program Files\AVBBEFNBBG.DBF
2015-06-01 11:45 - 2015-06-01 11:45 - 00000000 ____D () C:\Program Files\Информационные технологии РФ
C:\Documents and Settings\Admin\Local Settings\Temp\tmp101C.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp101E.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp1081.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp1086.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp109D.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp10DD.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp114B.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmpAEF.exe
C:\Documents and Settings\Admin\Local Settings\Temp\Uninstall.exe
C:\Documents and Settings\Admin\Local Settings\Temp\utt403.tmp.exe
C:\Documents and Settings\Admin\Local Settings\Temp\uttB4B5.tmp.exe
C:\Documents and Settings\Admin\Local Settings\Temp\uttB4C8.tmp.exe
C:\Documents and Settings\Admin\Local Settings\Temp\uttD91.tmp.exe
StandardProfile\GloballyOpenPorts: [6712:TCP] => Enabled:xmbikqel
Folder: C:\FRST\Quarantine
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Компьютер не перезагрузился однако все программы закрылись, подождал, ничего не произошло, выключил в ручную, при запуске экран приветствия Windows XP и курсор, в безопасном режиме тоже самое.
Хотел вытащить Fixlog.txt подключив жесткий через usb допуска нет к папке Аdmin
Последний раз редактировалось snupix; 04.06.2015 в 12:36.
Возможно я мог в программе Farbar Recovery Scan Tool не отметил пункты, которые нужно было отметить. Я отвлекся на ниже преведенное сообщениие об обязательной загрузке MS08-067,MS08-068,MS09-001 и Internet Explorer 8.0. Не нашёл где там их можно было скачать. Одно описание и ссылки. Решил сделать Fix и скорее всего не выставил те пункты, вылетелло из головы. Наверное это моя ошибка
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить.Только одна из них запустится на Вашей системе.
Скопируйте FRST на флэш-накопитель:
Загрузитесь в среду восстановления с жесткого диска (нажмите F8 и выберите пункт Устранение неполадок компьютера). Вставьте USB-накопитель в компьютер.
Примечание: Потребуется создать загрузочный CD диск, либо загрузочную флешку со средой восстановления (WinPE)
Выберите Командная строка
В командной строке введите следующее:
notepad и нажмите клавишу Enter.
Откроется Блокнот. В меню Файл выберите Открыть.
Выберите "Компьютер", найдите букву своего флэш-накопителя и закройте Блокнот.
В окне введите команду e:\frst64.exe и нажмите клавишу Enter Примечание: Замените букву e на букву вашего флэш-накопителя.
После того, как программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования на флэш-накопителе будет создан отчёт (FRST.txt). Пожалуйста, прикрепите его в следующем сообщении.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
HKLM\...\InprocServer32: [Default-wbemess] ATTENTION! ====> ZeroAccess?
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] ATTENTION! ====> ZeroAccess?
HKLM\...99B7938DA9E4}\LocalServer32: [Default-wmiprvse] <==== ATTENTION!
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - No File
SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - No File
SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - No File
SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - No File
2015-06-01 11:45 - 2015-06-01 15:44 - 00000081 _____ C:\Program Files\AVBBEFNBBG.DBF
2015-06-01 11:45 - 2015-06-01 11:45 - 00000000 ____D C:\Program Files\Информационные технологии РФ
C:\Documents and Settings\Admin\Local Settings\Temp\tmp101C.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp101E.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp1081.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp1086.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp109D.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp10DD.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmp114B.exe
C:\Documents and Settings\Admin\Local Settings\Temp\tmpAEF.exe
C:\Documents and Settings\Admin\Local Settings\Temp\Uninstall.exe
C:\Documents and Settings\Admin\Local Settings\Temp\utt403.tmp.exe
C:\Documents and Settings\Admin\Local Settings\Temp\uttB4B5.tmp.exe
C:\Documents and Settings\Admin\Local Settings\Temp\uttB4C8.tmp.exe
C:\Documents and Settings\Admin\Local Settings\Temp\uttD91.tmp.exe
NETSVC: vriaov -> No Registry Path.
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: