Junior Member
Вес репутации
32
Зашифрованы файлы на ноутбуке [not-a-virus:NetTool.Win64.NetFilter.k, not-a-virus:AdWare.Win32.DealPly.brj
]
Дети принесли ноут по прошествии недели вот такая надпись на заставке на черном фоне:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
AC4E75FE73BDC626A805|212|2|2
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Все нужные файлы зашифрованы.
На сайте увидел, что все возможно восстановить, надеюсь на консультацию.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) igan24 , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе . Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора ), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt . Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве .
Junior Member
Вес репутации
32
AdwCleaner[R0]
Вот AdwCleaner[R0], но программа ожидает действия по снятию меток с элементов которые нужно сохранить, указанные в списке проги файлы не о чем не говорят, нажимать "Очистка"?
Вложения
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Junior Member
Вес репутации
32
Вложения
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "Driver MD5" и "90 Days Files" . Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
Junior Member
Вес репутации
32
вот
почему у высланных файлов ранее 0 просмотров?
Вложения
Потому что вы себе так загадили компьютер, что лень даже скрипт писать было.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2850719992-3562858262-174922078-1001\...\Run: [screentk] => C:\Users\1\AppData\Local\screentk\screentool.exe [1322144 2014-09-08] (Screentool LLC)
HKU\S-1-5-21-2850719992-3562858262-174922078-1001\...\Run: [Yahoo! Search] => C:\Users\1\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.26.12\dsrlte.exe
HKU\S-1-5-21-2850719992-3562858262-174922078-1001\...\Run: [$crrUnisntlDsply$] => C:\Users\1\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.26.12\dsrlte.exe
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Schedule Games Browser.lnk [2013-09-01]
ShortcutTarget: Schedule Games Browser.lnk -> (No File)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2850719992-3562858262-174922078-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1431932103&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient05180&uid=WDCXWD5000BPVT-35HXZT1_WD-WX31A91W1368W1368
HKU\S-1-5-21-2850719992-3562858262-174922078-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1431932103&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=ient05180&uid=WDCXWD5000BPVT-35HXZT1_WD-WX31A91W1368W1368
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410705339&from=sky&uid=WDCXWD5000BPVT-35HXZT1_WD-WX31A91W1368W1368&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1410705339&from=sky&uid=WDCXWD5000BPVT-35HXZT1_WD-WX31A91W1368W1368&q={searchTerms}
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> A1D8718B7CE77CCAF00EDFF5889603A6 URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> OldSearch URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> {242FFA36-A41F-4017-ACDA-38BC3A4B2C5F} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Toolbar: HKU\S-1-5-21-2850719992-3562858262-174922078-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn [2015-03-01]
CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ehjkfdmkpocpileolmldepapdjbfegei [2014-02-02]
CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2014-09-15]
CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifpjamfehjeobjanpappgckkmnhjnpgi [2014-09-15]
CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-06-23]
CHR Extension: (No Name) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2013-08-23]
OPR Extension: (Dynamo Combo) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgohmfhlbipbcmmpdonacmkpibfghppn [2015-04-18]
OPR Extension: (Купоинт – дает скидки) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\ifpjamfehjeobjanpappgckkmnhjnpgi [2014-09-15]
R2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [118048 2015-06-10] (Elex do Brasil Participações Ltda)
R1 iSafeKrnl; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnl.sys [260856 2015-06-10] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlKit; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [108616 2015-06-10] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlMon; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [50944 2015-06-10] (Elex do Brasil Participações Ltda)
R1 iSafeKrnlR3; C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlR3.sys [102416 2015-06-10] (Elex do Brasil Participações Ltda)
R1 iSafeNetFilter; C:\Windows\System32\DRIVERS\iSafeNetFilter.sys [52392 2015-04-17] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
2015-07-20 20:44 - 2015-07-20 20:44 - 00000000 ____D C:\Users\1\AppData\Roaming\Elex-tech
2015-06-28 15:36 - 2015-06-28 15:36 - 03148854 _____ C:\Users\1\AppData\Roaming\84ABA94584ABA945.bmp
2015-06-28 14:29 - 2015-06-30 08:11 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-28 14:29 - 2015-06-30 08:11 - 00000000 __SHD C:\ProgramData\Windows
2013-09-01 00:29 - 2013-09-01 00:29 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
2015-06-28 15:36 - 2015-06-28 15:36 - 3148854 _____ () C:\Users\1\AppData\Roaming\84ABA94584ABA945.bmp
2015-01-24 19:27 - 2015-07-19 20:37 - 0000088 _____ () C:\Users\1\AppData\Roaming\WB.CFG
2014-09-15 11:20 - 2014-09-15 11:20 - 0617369 _____ (ClickMeIn Limited) C:\Users\1\AppData\Local\nsn2BFB.tmp
2014-09-14 22:46 - 2014-09-14 22:46 - 0632808 _____ (ClickMeIn Limited) C:\Users\1\AppData\Local\nstDA35.tmp
2011-06-24 19:12 - 2011-06-24 19:13 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2011-06-24 19:06 - 2011-06-24 19:06 - 0000113 _____ () C:\ProgramData\{34FBC7C4-CD31-4D93-A428-0E524EAC4586}.log
2011-06-24 19:09 - 2011-06-24 19:10 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
2011-06-24 19:06 - 2011-06-24 19:09 - 0000106 _____ () C:\ProgramData\{80E158EA-7181-40FE-A701-301CE6BE64AB}.log
2011-06-24 19:10 - 2011-06-24 19:12 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Junior Member
Вес репутации
32
файлы расшифровать получится?
Вложения
Не получится. Из резервных копий восстанавливайте информацию.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 12 В ходе лечения обнаружены вредоносные программы:
c:\program files (x86)\xtab\suptab.dll - not-a-virus:AdWare.Win32.SubTab.e c:\users\1\appdata\local\pay-by-ads\yahoo! search\1.3.25.0\dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.al ( BitDefender: Gen:Variant.Application.Strictor.64185 ) c:\users\1\appdata\local\pay-by-ads\yahoo! search\1.3.25.0\dsrsetup.exe - not-a-virus:Downloader.Win32.Montiera.al ( DrWEB: Adware.Toolbar.535, BitDefender: Gen:Variant.Application.Strictor.64185 ) c:\users\1\appdata\local\pay-by-ads\yahoo! search\1.3.26.12\dsrlte.exe - not-a-virus:Downloader.Win32.Montiera.al ( BitDefender: Gen:Variant.Application.Strictor.64185 ) c:\users\1\appdata\roaming\digitalsites\updateproc \updatetask.exe - not-a-virus:AdWare.Win32.DealPly.brj c:\users\1\appdata\roaming\digita~1\update~1\updat e~1.exe - not-a-virus:AdWare.Win32.DealPly.brj c:\users\1\applic~1\digitalsites\updateproc\update task.exe - not-a-virus:AdWare.Win32.DealPly.brj c:\users\1\applic~1\digita~1\update~1\update~1.exe - not-a-virus:AdWare.Win32.DealPly.brj c:\windows\screentk.sys - not-a-virus:NetTool.Win64.NetFilter.k ( DrWEB: Trojan.Triosir.161 )