Добрый день!
Прошу Вас помочь в расшифровке файлов на компьютере, зараженного трояном-шифровальщиком.
Компьютер прогнан антивирусами касперского с обновленными базами но увы.
С уважением
Дмитрий
Добрый день!
Прошу Вас помочь в расшифровке файлов на компьютере, зараженного трояном-шифровальщиком.
Компьютер прогнан антивирусами касперского с обновленными базами но увы.
С уважением
Дмитрий
Уважаемый(ая) Kudesnik2005, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ссылка, по которой скачали шифровальщик, сохранилась?
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\Акты и накладные.exe',''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32'); DeleteFile('C:\Program Files (x86)\Акты и накладные.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Обновите базы AVZ
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
[удалено]
ссылка
Последний раз редактировалось thyrex; 30.07.2015 в 12:40.
Глупости не говорите. Антивирус не может удалять ссылки
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
результат
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: HKLM\...\Run: [pr] => C:\Program Files (x86)\Акты и накладные.doc.exe HKLM-x32\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected <======= ATTENTION OPR Extension: (SuperMegaBest.com) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2015-07-03] FF Extension: SuperMegaBest.com - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\eetywzkx.default\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2015-07-02] FF Extension: TSearch - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\eetywzkx.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-06-04] S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-05-21] (电脑管家) S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys [X] 2015-07-28 16:46 - 2015-07-28 16:46 - 0156286 _____ () C:\Program Files (x86)\desk.jpg 2015-07-28 16:46 - 2015-07-28 16:46 - 0156286 _____ () C:\Program Files (x86)\desk1.bmp 2015-07-28 11:55 - 2015-07-28 12:05 - 19493838 _____ () C:\Program Files (x86)\log1.log 2015-07-28 11:55 - 2015-07-28 13:15 - 0000081 _____ () C:\Program Files (x86)\SRIKIAWGFS.CIP 2015-07-02 08:45 - 2015-07-02 09:02 - 00000000 ____D C:\Users\1\AppData\Roaming\Obnovi Soft 2015-07-02 08:45 - 2015-07-02 08:45 - 00001070 _____ C:\Users\1\Desktop\Обнови Софт.lnk 2015-07-02 08:45 - 2015-07-02 08:45 - 00000000 ____D C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2015-07-02 08:45 - 2015-07-02 08:45 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2015-07-02 08:45 - 2015-07-02 08:45 - 00000000 ____D C:\Program Files (x86)\Obnovi Soft 2015-07-02 08:45 - 2015-07-02 09:02 - 00000000 ____D C:\Users\1\AppData\Roaming\Obnovi Soft 2015-07-02 08:45 - 2015-07-02 08:45 - 00001070 _____ C:\Users\1\Desktop\Обнови Софт.lnk 2015-07-02 08:45 - 2015-07-02 08:45 - 00000000 ____D C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2015-07-02 08:45 - 2015-07-02 08:45 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт 2015-07-02 08:45 - 2015-07-02 08:45 - 00000000 ____D C:\Program Files (x86)\Obnovi Soft 2015-07-29 14:51 - 2015-05-21 09:24 - 00000000 ____D C:\Users\1\AppData\Roaming\eTranslator 2015-07-05 11:37 - 2015-06-29 10:02 - 00000000 ____D C:\Program Files (x86)\Zaxar C:\Users\1\AppData\Local\Temp\461E2FD8-BB0D-4442-A1B1-BD6B41E54624.exe C:\Users\1\AppData\Local\Temp\4951DAC6-B1FF-41EA-AEC9-012801AC168E.exe C:\Users\1\AppData\Local\Temp\C24A02C0-982A-4A61-BF64-A9BEC6FBD898.exe C:\Users\1\AppData\Local\Temp\SP46731.exe C:\Users\1\AppData\Local\Temp\sp58915.exe C:\Users\1\AppData\Local\Temp\ZaxarSetup.4.001.33.exe FirewallRules: [{5087F5AB-A367-44CB-A995-0AC31376F66D}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe FirewallRules: [{C9D33A23-C1A7-4E00-9C5F-C557701F6845}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
лог
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Kudesnik2005, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.