Здравствуйте, получил письмо от info@mebel-moskva.ru
"Якобы прислали акт сверки"
С уважением, Дмитрий Windows 7 Pro x64
Уже понятно что я этот файл открыл и все файлы были зашифрованы. теперь файлы имеют описание такого плана: "[email protected] 1.0.0.0.id-UUVWWXXYYYYZZAABBCCCDDDDEEFFGGHHHHHI-29.10.2015 12@[email protected]"
для связи оставил почту: [email protected], если на неё написать письмо, приходит ответ, что такого адреса не существует...
это на рабочем компьютере, соответственно все эти файлы архи-важны! помогите пожалуйста!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Drallex, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\explore.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\Program Files (x86)\explore.exe','32');
DeleteFile('C:\Program Files (x86)\RCP\systweakasp.exe','32');
DeleteFile('C:\Windows\system32\Tasks\ASP','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Подскажите какую мне платную услугу необходимо подключить для ускорения решения моего вопроса по пограме "помогите+"?
1. Индивидуальное лечение компьютера от вредоносных программ - 299 руб.
или
2. Дополнение [1]: Помощь в расшифровке файлов, пострадавших от шифровальщиков - 499 руб.
Или обе сразу?
Последний раз редактировалось Drallex; 31.10.2015 в 15:50.
Не нужно обращаться в Помогите+. С расшифровкой мы Вам помочь не сможем
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
Task: {B5C214AE-EC7C-4112-B3F6-C882C9184EC6} - \ASP -> No File <==== ATTENTION
2015-10-29 16:50 - 2015-10-29 16:50 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
2015-10-29 16:50 - 2015-10-29 16:50 - 0149043 _____ () C:\Program Files (x86)\desk.jpg
2015-10-29 12:20 - 2015-10-29 13:03 - 0000081 _____ () C:\Program Files (x86)\PUJDATHDJR.HPV
Toolbar: HKU\S-1-5-21-2756393466-1686124363-4112099035-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-2756393466-1686124363-4112099035-1000 -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.rambler.ru/?utm_source=r40&utm_medium=distribution&utm_content=e08&utm_campaign=3w29
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM-x32\...\Run: [] => [X]
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect