Зашифровались файлы на компьютере. Вымогатель с ником "Tvoi Koshmar " пишет с адреса [email protected]. Проверка компьютера и лечащие утилиты результата не дали. Архив с зашифрованными файлами во вложении. Прошу помощи.
Зашифровались файлы на компьютере. Вымогатель с ником "Tvoi Koshmar " пишет с адреса [email protected]. Проверка компьютера и лечащие утилиты результата не дали. Архив с зашифрованными файлами во вложении. Прошу помощи.
Уважаемый(ая) niki_88, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прикрепляю результаты работы AVZ и HiJack
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\syswow64\netupdsrv.exe',''); QuarantineFile('C:\Windows\system32\nethtsrv.exe',''); QuarantineFile('C:\Windows\syswow64\nethtsrv.exe',''); QuarantineFile('C:\Windows\syswow64\hfpapi.dll',''); QuarantineFile('C:\Windows\syswow64\hfnapi.dll',''); QuarantineFile('C:\Windows\system32\netupdsrv.exe',''); QuarantineFile('C:\Windows\system32\hfpapi.dll',''); QuarantineFile('C:\Windows\system32\hfnapi.dll',''); QuarantineFile('C:\Users\vovremya\AppData\Local\17375\a30104.exe',''); SetServiceStart('NetHttpService', 4); DeleteService('NetHttpService'); QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys',''); QuarantineFile('C:\Windows\SysWOW64\hfpapi.dll',''); QuarantineFile('C:\Windows\SysWOW64\hfnapi.dll',''); TerminateProcessByName('c:\windows\syswow64\nethtsrv.exe'); QuarantineFile('c:\windows\syswow64\nethtsrv.exe',''); DeleteFile('c:\windows\syswow64\nethtsrv.exe','32'); DeleteFile('C:\Windows\SysWOW64\hfnapi.dll','32'); DeleteFile('C:\Windows\SysWOW64\hfpapi.dll','32'); DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys','32'); DeleteFile('C:\Users\vovremya\AppData\Local\17375\a30104.exe','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\Windows\system32\hfnapi.dll','32'); DeleteFile('C:\Windows\system32\hfpapi.dll','32'); DeleteFile('C:\Windows\system32\netupdsrv.exe','32'); DeleteFile('C:\Windows\syswow64\hfnapi.dll','32'); DeleteFile('C:\Windows\syswow64\hfpapi.dll','32'); DeleteFile('C:\Windows\syswow64\nethtsrv.exe','32'); DeleteFile('C:\Windows\system32\nethtsrv.exe','32'); DeleteFile('C:\Windows\syswow64\netupdsrv.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Карантин загрузил.
Результат загрузки
Файл сохранён как 150711_012636_virus_55a0388c28015.zip
Размер файла 1175818
MD5 f97e8a3cb73644d58154608bc44d4585
- - - - -Добавлено - - - - -
Результаты повторного выполнения AVZ и HiJack
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прикладываю результаты работы "Farbar Recovery Scan Tool".
Что в папке C:\Program Files (x86)\- ?
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: Task: {EAF9AEF4-BF04-4689-A9DF-A09C4D74050B} - \pkdrysg No Task File <==== ATTENTION 2015-07-11 00:13 - 2014-09-23 08:02 - 00000000 ____D C:\Users\vovremya\AppData\Local\17375 Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В папке "C:\Program Files (x86)\-" судя по всему находился exe-файл с вирусом (назывался, если не ошибаюсь, "informer.exe". Создан датой, соответствующей дате заражения. Точное название не запомнил, так как установленный антивирус Microsoft этот файл сразу удалил).
Прикрепляю файл Fixlog.txt
Папку удалите.
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Варианты? DrWeb, лаборатория Kaspersky (при наличии соответствующей лицензии) помогут ?
Нет, не помогут
Как вариант, http://virusinfo.info/showthread.php?t=156188
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Нет, не поможет. Пока имеет смысл сохранить зашифрованные файлы на отдельный диск и ждать расшифровки.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Если заплатить злоумышленнику, он присылает рабочий расшифровщик? (по опыту вашего общения с пострадавшими)?
Обычно не обманывают. Но я бы пока рекомендовал не платить, а подождать какое-то время.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Сколько нужно будет подождать, если не платить? (Примерно? Опять же по вашему опыту создания дешифраторов?)
Если у вас есть возможность подождать месяца 2-3, то лучше пока подождать.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Спасибо! К сожалению, столько ждать не представляется возможным.
Если надумаете покупать дешифратор у злодеев, по возможности просим Вас поделиться им
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Обязательно.
Уважаемый(ая) niki_88, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.