Junior Member
Вес репутации
32
Помогите расшифровать файлы [not-a-virus:RiskTool.Win32.BitCoinMiner.xik, not-a-virus:RiskTool.Win32.BitCoinMiner.lrc
]
Добрый день! Помогите расшифровать файлы. На рабочем столе на черном фоне красная надпись "Все важные файлы на всех дисках вашего компьютера были зашифрованы. Подробности вы можете прочитать в файлах README.txt, которые можно найти на любом из дисков. Правила прочитала. Постаралась создать протоколы. Надеюсь правильно.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Buhg@lter , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Младший\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\Младший\appdata\roaming\cppredistx86.exe','');
QuarantineFile('C:\Windows\regsvr32.exe','');
QuarantineFile('C:\Users\08A8~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Младший\AppData\Local\SwvUpdater\Updater.exe','');
QuarantineFile('C:\Users\Младший\AppData\Roaming\cppredistx86.exe','');
TerminateProcessByName('c:\users\Младший\appdata\roaming\vopackage\vosrv.exe');
QuarantineFile('c:\users\Младший\appdata\roaming\vopackage\vosrv.exe','');
DeleteFile('c:\users\Младший\appdata\roaming\vopackage\vosrv.exe','32');
DeleteFile('C:\Users\Младший\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command');
DeleteFile('C:\Users\Младший\AppData\Local\SwvUpdater\Updater.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\Users\08A8~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
DeleteFile('C:\Windows\regsvr32.exe','32');
DeleteFile('C:\Users\Младший\appdata\roaming\cppredistx86.exe','32');
DeleteFile('C:\Users\Младший\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
+ Сделайте лог CheckBrowsers' Lnk
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Вложения
Junior Member
Вес репутации
32
Вложения
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-2157415324-3715716123-951210510-1000_Classes\CLSID\{1FE40EA0-BCD0-4235-B5F1-72123E3BA724}\localserver32 -> "C:\grym.exe" No File
CustomCLSID: HKU\S-1-5-21-2157415324-3715716123-951210510-1000_Classes\CLSID\{2D6BD2F0-5F84-4a06-924F-AEE0598B6272}\InprocServer32 -> No Filepath
CustomCLSID: HKU\S-1-5-21-2157415324-3715716123-951210510-1000_Classes\CLSID\{31AF8DFB-7F85-4896-9640-1C4FFE14B29E}\InprocServer32 -> C:\Plugins\DGisLayer.dll No File
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B
AlternateDataStreams: C:\ProgramData\TEMP:10D14739
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2157415324-3715716123-951210510-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=16ec0b67db9a17ca201436d908d5162f&text={searchTerms}
HKU\S-1-5-21-2157415324-3715716123-951210510-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=16ec0b67db9a17ca201436d908d5162f&text={searchTerms}
SearchScopes: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=16ec0b67db9a17ca201436d908d5162f&text=
SearchScopes: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> {8B69A4A0-B5D0-4AE3-BA49-28E208885BF7} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=16ec0b67db9a17ca201436d908d5162f&text={searchTerms}
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
Toolbar: HKU\.DEFAULT -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
Toolbar: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> No Name - {49D931C3-97C7-46BF-850F-83CC98E81623} - No File
Toolbar: HKU\S-1-5-21-2157415324-3715716123-951210510-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartabhost.dll No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL No File
FF Extension: Desktopy - C:\Users\Младший\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2013-11-23]
FF Extension: No Name - C:\Program Files\BetterSurf\BetterSurfPlus\ff [not found]
FF Extension: No Name - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1892\ff [not found]
FF Extension: No Name - C:\Program Files\MediaViewV1\MediaViewV1alpha741\ff [not found]
CHR HKLM\...\Chrome\Extension: [gemfihgpdoieefkaiikglllnejeghfid] - C:\Program Files\MediaViewV1\MediaViewV1alpha741\ch\MediaViewV1alpha741.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hpohnkbblfkccpfkmkpkjdhekabnejih] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1892\ch\MediaViewerV1alpha1892.crx [Not Found]
FF HKLM\...\Firefox\Extensions: [[email protected] ] - C:\Program Files\Better-Surf\ff
FF HKLM\...\Firefox\Extensions: [[email protected] ] - C:\Program Files\BetterSurf\BetterSurfPlus\ff
FF HKLM\...\Firefox\Extensions: [[email protected] ] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha952\ff
FF Extension: Webexp Enhanced - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha952\ff [2013-12-19]
FF HKLM\...\Firefox\Extensions: [[email protected] ] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta336\ff
FF Extension: Video Player - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta336\ff [2014-01-11]
FF HKLM\...\Firefox\Extensions: [[email protected] ] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha260\ff
FF Extension: Media Player - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha260\ff [2014-01-30]
FF HKLM\...\Firefox\Extensions: [[email protected] ] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha1892\ff
FF HKLM\...\Firefox\Extensions: [[email protected] ] - C:\Program Files\MediaViewV1\MediaViewV1alpha741\ff
CHR HKLM\...\Chrome\Extension: [ldkepchipdondmjafdpbpmeggfhagfil] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha952\ch\WebexpEnhancedV1alpha952.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [mmifolfpllfdhilecpdpmemhelmanajl] - C:\Program Files\BetterSurf\BetterSurfPlus\ch\BetterSurfPlus.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [ocdaiajjheopeiiffamjfdclfcifbilp] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta336\ch\VideoPlayerV3beta336.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [poheodfamflhhhdcmjfeggbgigeefaco] - C:\Program Files\Better-Surf\ch\Chrome.crx [Not Found]
2015-07-23 12:02 - 2015-07-23 12:02 - 03932214 _____ C:\Users\Младший\AppData\Roaming\E8051FB2E8051FB2.bmp
2015-07-23 10:36 - 2015-07-23 19:00 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-07-23 10:36 - 2015-07-23 19:00 - 00000000 __SHD C:\ProgramData\Windows
2015-07-19 07:11 - 2015-07-19 07:11 - 00371216 _____ C:\Users\Младший\AppData\Roaming\data13.dat
2015-07-23 12:00 - 2013-11-23 14:31 - 00000000 ____D C:\Users\Младший\AppData\Local\SwvUpdater
Reboot:
Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Вложения
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
32
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\users\младший\appdata\roaming\cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xik ( DrWEB: Trojan.DownLoad3.34936, BitDefender: Trojan.GenericKD.1938104, AVAST4: Win32:Agent-ATWQ [Trj] ) c:\windows\regsvr32.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.lrc ( BitDefender: Application.BitCoinMiner.BK )