1. После перезагрузки компьютера, все полезные файлы преобразованы/переименованы. *cbf
2. Антивирус (Касперский тотал, обновляется каждый день) запуск вируса никак не пытался предотвратить.
3. Утилиты от касперского (все: KVRT,rakhnide, rannohd, rector, scatter, xorisdt) никак не помогают (проверяют, выдают: обнаружено N, расшифровано 0).
4. В наличии: один файл "до шифровки" с его "зашифрованной версией". В целом если постараться можно еще 1-2 пары таких найти.
5. Собственно файл "с вирусом" и множество им зашифрованных.
Прошу помощи.
ps - кроме того, буду благодарен, если кто-нибудь в ЛС подскажет что такое "помощь+", "подписка" на нее (разовое обращение, период) и как собственно это получить. Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) N853, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\digital\AppData\Roaming\Searchya\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\digital\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\digital\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Windows\system32\drivers\ssnfd.sys','');
DeleteService('ssnfd');
DeleteFile('C:\Windows\system32\drivers\ssnfd.sys','32');
DeleteFile('C:\Users\digital\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\digital\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\digital\AppData\Roaming\Searchya\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Searchya.job','64');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Обновите базы AVZ
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
2. Обновил базы avz. Выполнил стандартный скрипт.
Повторно выполнил HijackThis.
Полученные файлы прилагаю.
3. Согласно приложения 2, файлы из папки avz4/quarantine/
Файл сохранён как 150618_104211_virusinfo_autoquarantine_55826843746 3e.zip
- - - - -Добавлено - - - - -
Дополнительно обратил внимание.
Не все файлы зашифрованы:
- на рабочем столе уцелели: файл презентации .pptx (2,46 mb); рисунок.ai (129 mb);
- на рабочем столе в одной из папок с картинками одна уцелела (png, 400 kb)
- в папке C:\Users\digital\Documents\старый рабочий стол\ Уцелили все файлы!;
- в папке C:\Users\digital\Pictures так же уцелело все.
Файлы зашифрованы так же на бэк ап диске D (там их не много, в основном архивы, которые не пострадали).
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: