Хочу попросить Вашей помощи в приоритетном порядке в устранении последствий работы шифровальщика. НО ! У меня нет аккаунта на paypal и оформить коммерческую подписку не получается. Как поступить, писал в личку, со мной никто не связался..
Хочу попросить Вашей помощи в приоритетном порядке в устранении последствий работы шифровальщика. НО ! У меня нет аккаунта на paypal и оформить коммерческую подписку не получается. Как поступить, писал в личку, со мной никто не связался..
Уважаемый(ая) Евгений-София, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Для начала предоставьте логи и подробное описание шифровальщика - возможно, платную подписку и нет смысла оформлять.
WBR,
Vadim
После заражения, в четверг сделал логи этими утилитами. Я новичок на форуме, эти логи и описание можно запостить в эту тему ?
- - - - -Добавлено - - - - -
P.S. Vvvyg, Вадим. Привет из Тулы,земляк ))
Ок. В редми файлах следующее обращение:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
926F93222B086846BEC1|399|2|10
на электронный адрес [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Все док файлы приобрели вид : 4BU2I-GHk6xjX3Y1NpXX2n6Pz2OoHFyb7prCNNg6f6MGzJ1mGOGccVsg OnEqpX30.926F93222B086846BEC1.breaking_bad
Логи :
Последний раз редактировалось Евгений-София; 25.01.2016 в 13:27.
По правилам форума логи - т. е. файлы virusinfo_syscure.zip, HijackThis.log (которого нет) прикрепляются к сообщению.
Карантин, т. е. файл virusinfo_autoquarantine.zip нужно загружать о ссылке "Прислать запрошенный карантин" над над первым сообщением в теме, в открытый доступ его выкладывать запрещено.
WBR,
Vadim
hijackthis.log
virusinfo_syscure.zip
В карантин тоже отправил.
Кейлоггер в папке C:\NeoSpy сами устанавливали?
Ссылку на карантин (Яндекс.Диск) тоже уберите.
IObit Advanced SystemCare сами устанавливали?
WBR,
Vadim
IObit и neospy устанавливали сами. Ссылку убираю.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('C:\WINDOWS\screentk.sys', ''); QuarantineFile('C:\WINDOWS\system32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}t.sys', ''); DeleteFile('C:\WINDOWS\system32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}t.sys', '32'); DeleteFile('C:\WINDOWS\screentk.sys', '32'); DeleteFile(':\WINDOWS\sembako-chzjlpi.exe', '32'); DeleteService('screentk'); DeleteService('{b9a19c25-a741-47e5-91a2-0b62bef307ff}t'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(3); BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Удалите программы:
FLV Player Packages
Remote Desktop Access (VuuPC)
Screentool - снимки экрана
Тут недорого version 2.7.11
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.Код:CreateRestorePoint: HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => 0 AppInit_DLLs: C:\NeoSpy\nspl.dll => No File HKU\S-1-5-21-436374069-1425521274-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rts.dsrlte.com?affID=na HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab&affID=na" <======= ATTENTION FF SearchEngineOrder.1: Ask.com FF Extension: SaveSense - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2d7886a0-85bb-4bf2-b684-ba92b4b21d23} [2014-02-15] [not signed] CHR HKLM\...\Chrome\Extension: [ajjpgnlpolfpnebjjaciccmmjnmjfjkl] - C:\Program Files\RightSurf\ajjpgnlpolfpnebjjaciccmmjnmjfjkl.crx <not found> CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2014-01-26] S2 savesenselive; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-02-15] (SaveSense) S3 savesenselivem; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-02-15] (SaveSense) 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README9.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README8.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README7.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README6.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README5.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README4.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README3.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README2.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README10.txt 2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README1.txt 2012-03-27 22:03 - 2012-03-27 22:03 - 0005325 ____C () C:\Documents and Settings\Admin\Local Settings\Application Data\JunkAtx18.bin 2012-03-27 22:00 - 2012-03-27 22:00 - 0000051 ____C () C:\Documents and Settings\Admin\Local Settings\Application Data\Kosong.Bron.Tok.txt Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe <==== ATTENTION C:\Program Files\SaveSenseLive Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus-chiplvtv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Guard.Mail.ru.gui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\multibar.exe" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus-1464" /f Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
C расшифровкой не поможем.
WBR,
Vadim
Не совсем понятно для чего делать вышеописанные действия, если расшифровать не удастся ?
Почистить adware и остатки вирусов.
WBR,
Vadim
Ок. Спасибо за попытку. То есть, ничего нельзя сделать в принципе ? Дайте совет, есть ли варианты?
Возможно, когда-нибудь, ключи расшифровки попадут в правоохранительные органы и/или в антивирусные лаборатории... Грамотно написанный шифровальщик шансов не оставляет, увы.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\neospy\main.exe - not-a-virus:Monitor.Win32.NeoSpy.pq ( BitDefender: Backdoor.Hupigon.287499 )
- c:\windows\screentk.sys - not-a-virus:RiskTool.Win32.NetFilter.ay ( DrWEB: Trojan.Triosir.161 )
- c:\windows\system32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}t.sys - not-a-virus:RiskTool.Win32.NetFilter.q ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )
Уважаемый(ая) Евгений-София, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.