Здравствуйте, на компьютере шифровальщик, все файлы в расширении breaking_bad
Здравствуйте, на компьютере шифровальщик, все файлы в расширении breaking_bad
Последний раз редактировалось Goga007; 18.01.2016 в 13:10.
Уважаемый(ая) Goga007, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Пример зараженного файла:
http://rghost.ru/7v7hgK6Nh
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\инна\AppData\Local\Temp\04323C58.exe',''); QuarantineFile('C:\Users\инна\AppData\Local\UTBmedia\strong.dll',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Users\инна\AppData\Local\UTBmedia\04323C58.exe',''); QuarantineFile('C:\Users\инна\AppData\Local\eMule\application\bin\qmule.exe',''); QuarantineFile('c:\windows\system32\packard bell.scr',''); DeleteFile('C:\Users\инна\AppData\Local\UTBmedia\04323C58.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Umbwmedia'); DeleteFile('C:\Users\инна\AppData\Local\UTBmedia\strong.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','UTBmedia'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал
Последний раз редактировалось Goga007; 19.01.2016 в 10:14.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM-x32\...\Run: [Fz_KfknPEQDKczSHKknkumGxEy] => C:\Windows\system32\uVDQWsyDdXFs_i.exe BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-3403438320-2177414598-428035885-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File 2016-01-16 13:40 - 2016-01-19 09:14 - 00000000 ____D C:\Users\инна\AppData\Local\UTBmedia 2016-01-16 13:39 - 2016-01-16 13:39 - 04320054 _____ C:\Users\инна\AppData\Roaming\1934EA031934EA03.bmp 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README9.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README8.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README7.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README6.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README5.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README4.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README3.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README2.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README10.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\инна\Desktop\README1.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README9.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README8.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README7.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README6.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README5.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README4.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README3.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README2.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README10.txt 2016-01-16 13:39 - 2016-01-16 13:39 - 00000843 _____ C:\Users\Public\Desktop\README1.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README9.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README8.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README7.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README6.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README5.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README4.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README3.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README2.txt 2016-01-15 17:04 - 2016-01-15 17:04 - 00000843 _____ C:\README10.txt 2016-01-15 17:03 - 2016-01-19 09:14 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-01-15 17:03 - 2016-01-19 09:14 - 00000000 __SHD C:\ProgramData\Windows C:\Users\инна\AppData\Local\Temp\04323C58.exe C:\ProgramData\uVDQWsyDdXFs_i.exe C:\Users\Все пользователи\uVDQWsyDdXFs_i.exe Task: {46C0E2BB-BA72-4D67-900D-A52C66468D17} - \Обновление Браузера Яндекс -> No File <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
выполнил, архив который сформировала программа прикрепил через "Прислать запрошенный карантин"
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\windows\csrss.exe - Trojan-Ransom.Win32.Shade.wr ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\инна\appdata\local\temp\04323c58.exe - Trojan.Win32.Boaxxe.hc ( BitDefender: Gen:Variant.Symmi.36185, AVAST4: Win32:Trojan-gen )
- c:\users\инна\appdata\local\utbmedia\strong.dll - Trojan.Win32.Yakes.opgl ( AVAST4: Win32:Malware-gen )
- c:\users\инна\appdata\local\utbmedia\04323c58.exe - Trojan.Win32.Boaxxe.hc ( BitDefender: Gen:Variant.Symmi.36185, AVAST4: Win32:Trojan-gen )
Уважаемый(ая) Goga007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.