Показано с 1 по 12 из 12.

Помогите расшифровать файлы [not-a-virus:RiskTool.Win32.BitCoinMiner.xik, not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ] (заявка № 187532)

  1. #1
    Junior Member Репутация
    Регистрация
    23.07.2015
    Сообщений
    8
    Вес репутации
    32

    Помогите расшифровать файлы [not-a-virus:RiskTool.Win32.BitCoinMiner.xik, not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ]

    Добрый день! Помогите расшифровать файлы. На рабочем столе на черном фоне красная надпись "Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков. Правила прочитала. Постаралась создать протоколы. Надеюсь правильно.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Buhg@lter, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Младший\appdata\roaming\ssleas.exe','');
     QuarantineFile('C:\Users\Младший\appdata\roaming\cppredistx86.exe','');
     QuarantineFile('C:\Windows\regsvr32.exe','');
     QuarantineFile('C:\Users\08A8~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
     QuarantineFile('C:\Users\Младший\AppData\Local\SwvUpdater\Updater.exe','');
     QuarantineFile('C:\Users\Младший\AppData\Roaming\cppredistx86.exe','');
     TerminateProcessByName('c:\users\Младший\appdata\roaming\vopackage\vosrv.exe');
     QuarantineFile('c:\users\Младший\appdata\roaming\vopackage\vosrv.exe','');
     DeleteFile('c:\users\Младший\appdata\roaming\vopackage\vosrv.exe','32');
     DeleteFile('C:\Users\Младший\AppData\Roaming\cppredistx86.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command');
     DeleteFile('C:\Users\Младший\AppData\Local\SwvUpdater\Updater.exe','32');
     DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
     DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
     DeleteFile('C:\Users\08A8~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
     DeleteFile('C:\Windows\regsvr32.exe','32');
     DeleteFile('C:\Users\Младший\appdata\roaming\cppredistx86.exe','32');
     DeleteFile('C:\Users\Младший\appdata\roaming\ssleas.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

    + Сделайте лог CheckBrowsers' Lnk
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    23.07.2015
    Сообщений
    8
    Вес репутации
    32
    Новые логи
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке


    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    23.07.2015
    Сообщений
    8
    Вес репутации
    32
    отчет
    Вложения Вложения

  10. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
    Код:
    CreateRestorePoint:
    CustomCLSID: HKU\S-1-5-21-2157415324-3715716123-951210510-1000_Classes\CLSID\{1FE40EA0-BCD0-4235-B5F1-72123E3BA724}\localserver32 -> "C:\grym.exe" No File
    CustomCLSID: HKU\S-1-5-21-2157415324-3715716123-951210510-1000_Classes\CLSID\{2D6BD2F0-5F84-4a06-924F-AEE0598B6272}\InprocServer32 -> No Filepath
    CustomCLSID: HKU\S-1-5-21-2157415324-3715716123-951210510-1000_Classes\CLSID\{31AF8DFB-7F85-4896-9640-1C4FFE14B29E}\InprocServer32 -> C:\Plugins\DGisLayer.dll No File
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
    AlternateDataStreams: C:\ProgramData\TEMP:10D14739
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
    HKU\S-1-5-21-2157415324-3715716123-951210510-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=16ec0b67db9a17ca201436d908d5162f&text={searchTerms}
    HKU\S-1-5-21-2157415324-3715716123-951210510-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=16ec0b67db9a17ca201436d908d5162f&text={searchTerms}
    SearchScopes: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=16ec0b67db9a17ca201436d908d5162f&text=
    SearchScopes: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> {8B69A4A0-B5D0-4AE3-BA49-28E208885BF7} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=16ec0b67db9a17ca201436d908d5162f&text={searchTerms}
    BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
    BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
    Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
    Toolbar: HKU\.DEFAULT -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
    Toolbar: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    Toolbar: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> No Name - {49D931C3-97C7-46BF-850F-83CC98E81623} -  No File
    Toolbar: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
    Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL No File
    FF Extension: Desktopy - C:\Users\Младший\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2013-11-23]
    FF Extension: No Name - C:\Program Files\BetterSurf\BetterSurfPlus\ff [not found]
    FF Extension: No Name - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1892\ff [not found]
    FF Extension: No Name - C:\Program Files\MediaViewV1\MediaViewV1alpha741\ff [not found]
    CHR HKLM\...\Chrome\Extension: [gemfihgpdoieefkaiikglllnejeghfid] - C:\Program Files\MediaViewV1\MediaViewV1alpha741\ch\MediaViewV1alpha741.crx [Not Found]
    CHR HKLM\...\Chrome\Extension: [hpohnkbblfkccpfkmkpkjdhekabnejih] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1892\ch\MediaViewerV1alpha1892.crx [Not Found]
    FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Better-Surf\ff
    FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\BetterSurf\BetterSurfPlus\ff
    FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha952\ff
    FF Extension: Webexp Enhanced - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha952\ff [2013-12-19]
    FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta336\ff
    FF Extension: Video Player - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta336\ff [2014-01-11]
    FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha260\ff
    FF Extension: Media Player - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha260\ff [2014-01-30]
    FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1892\ff
    FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\MediaViewV1\MediaViewV1alpha741\ff
    CHR HKLM\...\Chrome\Extension: [ldkepchipdondmjafdpbpmeggfhagfil] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha952\ch\WebexpEnhancedV1alpha952.crx [Not Found]
    CHR HKLM\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx [Not Found]
    CHR HKLM\...\Chrome\Extension: [ocdaiajjheopeiiffamjfdclfcifbilp] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta336\ch\VideoPlayerV3beta336.crx [Not Found]
    CHR HKLM\...\Chrome\Extension: [poheodfamflhhhdcmjfeggbgigeefaco] - C:\Program Files\Better-Surf\ch\Chrome.crx [Not Found]
    2015-07-23 12:02 - 2015-07-23 12:02 - 03932214 _____ C:\Users\Младший\AppData\Roaming\E8051FB2E8051FB2.bmp
    2015-07-23 10:36 - 2015-07-23 19:00 - 00000000 __SHD C:\Users\Все пользователи\Windows
    2015-07-23 10:36 - 2015-07-23 19:00 - 00000000 __SHD C:\ProgramData\Windows
    2015-07-19 07:11 - 2015-07-19 07:11 - 00371216 _____ C:\Users\Младший\AppData\Roaming\data13.dat
    2015-07-23 12:00 - 2013-11-23 14:31 - 00000000 ____D C:\Users\Младший\AppData\Local\SwvUpdater
    Reboot:
    • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    23.07.2015
    Сообщений
    8
    Вес репутации
    32
    отчет
    Вложения Вложения

  13. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    С расшифровкой не поможем
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #10
    Junior Member Репутация
    Регистрация
    23.07.2015
    Сообщений
    8
    Вес репутации
    32
    даже платно?

  15. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Даже таким способом
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  16. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 18
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\младший\appdata\roaming\cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xik ( DrWEB: Trojan.DownLoad3.34936, BitDefender: Trojan.GenericKD.1938104, AVAST4: Win32:Agent-ATWQ [Trj] )
      2. c:\windows\regsvr32.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ( BitDefender: Application.BitCoinMiner.BK )


  • Уважаемый(ая) Buhg@lter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 31.03.2015, 20:20
    2. Помогите расшифровать файлы
      От yaneg66 в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 16.07.2014, 13:13
    3. Помогите расшифровать файлы
      От Trubenko в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 15.07.2014, 16:54
    4. Помогите расшифровать файлы
      От Юлия81 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.05.2013, 08:07
    5. Помогите расшифровать файлы v 2.0 )
      От Despc в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 08.12.2012, 00:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00174 seconds with 20 queries