Показано с 1 по 10 из 10.

Вирус-шифровальщик MSIL/Filecoder.AO Помогите расшифровать фотографии (заявка № 197357)

  1. #1
    Junior Member Репутация
    Регистрация
    21.02.2016
    Сообщений
    8
    Вес репутации
    30

    Вирус-шифровальщик MSIL/Filecoder.AO Помогите расшифровать фотографии

    Ребята помогите клиенты пенсионеры и внуки поймали шифровщик MSIL/Filecoder.AO
    все как в теме http://virusinfo.info/showthread.php?t=197287

    В каждой папке где есть зашифрованные файлы появился файл "ВНИМАНИЕ_ОТКРОЙТЕ-МЕНЯ.txt"
    со следующим содержимым (воду опустил, если нужно вышлю полный текст файла):
    --------------------------------------------------------------
    Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
    1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/...d-easy.html.en
    2) Установите и запустите 'Tor Browser'
    3) Перейдите по ссылке 'http://3qo5aqjlesrudfm3.onion/?id=fc0a173e&HashID=c5112ca051177d968fcde9f3e3b87b b9' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser') (Сайт не доступен и через тор.)
    4) Следуйте инструкциям на сайте
    --------------------------------------------------------------
    ID: fd5d65ae
    HashID: 6f73cfada608315531c8525f50913079
    --------------------------------------------------------------
    Вылечить компьютер не проблема, проблема расшифровать.
    скачал Farbar Recovery Scan Tool
    сделал логи и прилагаю, так же прилагаю зашифрованный файл (фото не влезло, скачал картринку). Надеюсь на вашу помощь.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) TomskikhAA, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    21.02.2016
    Сообщений
    8
    Вес репутации
    30
    Цитата Сообщение от thyrex Посмотреть сообщение
    Прикладываю, но повторюсь: Лечение не проблема. MBAM уже проверяет. Следующий АВП на очереди.
    Помогли расшифровать после запроса файлов выложенных выше. В теневых копиях есть инфа, но она максимум с 22.01.2016, а заразу подхватили 10.01.1016 и только сейчас спохватились.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Код:
      CreateRestorePoint:
      CloseProcesses:
      HKU\S-1-5-21-2388802028-2453746728-4251074877-1000\...\Run: [TorProject] => C:\Users\User\AppData\Roaming\OdnUqnxVqtAcmfpq4n\tor\tor.exe [2138624 2016-01-10] ()
      URLSearchHook: HKLM - MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\tbMyAs.dll No File
      URLSearchHook: HKU\S-1-5-21-2388802028-2453746728-4251074877-1000 - MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\tbMyAs.dll No File
      SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
      SearchScopes: HKU\S-1-5-21-2388802028-2453746728-4251074877-1000 -> {F607BDA0-223F-48AC-AF0E-27B7B4E6DEAF} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
      BHO: MyAshampoo Toolbar -> {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} -> C:\Program Files\MyAshampoo\tbMyAs.dll => No File
      Toolbar: HKLM - MyAshampoo Toolbar - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Program Files\MyAshampoo\tbMyAs.dll No File
      R2 UbarCalloutDriver; C:\Program Files\UBar\UbarDriver.sys [12336 2016-01-09] ()
      2016-02-16 14:00 - 2016-01-10 10:11 - 00000000 ____D C:\Users\User\AppData\Roaming\OdnUqnxVqtAcmfpq4n
      C:\Users\User\AppData\Local\Temp\AmigoDistrib.exe
      C:\Users\User\AppData\Local\Temp\contentDATs.exe
      C:\Users\User\AppData\Local\Temp\dfsd74hfgz_OrionInstaller.exe
      C:\Users\User\AppData\Local\Temp\GoogleToolbarInstaller_en32_signed.exe
      C:\Users\User\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
      C:\Users\User\AppData\Local\Temp\hcv_mailruhomesearch.exe
      C:\Users\User\AppData\Local\Temp\icb38.exe
      C:\Users\User\AppData\Local\Temp\MobogenieSetup.exe
      C:\Users\User\AppData\Local\Temp\Myashampoo.exe
      C:\Users\User\AppData\Local\Temp\nsr9840.tmp.exe
      C:\Users\User\AppData\Local\Temp\qweeeCL.exe
      C:\Users\User\AppData\Local\Temp\SecurityScan_Release.exe
      C:\Users\User\AppData\Local\Temp\SkypeSetup.exe
      FirewallRules: [{D93E15FF-23BC-4C5D-BABE-CD2006AC364E}] => (Allow) C:\Program Files\UBar\ubar.exe
      EmptyTemp:
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. #6
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\User\AppData\Roaming\WindowsUpdater\Updater.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\ZetaGamesNews\zeta.exe','');
     DeleteFile('C:\Users\User\AppData\Local\ZetaGamesNews\zeta.exe','32');
     DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZetaGamesNews','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorProject','command');
     DeleteFile('C:\Users\User\AppData\Roaming\WindowsUpdater\Updater.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\WindowsUpdater','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. #7
    Junior Member Репутация
    Регистрация
    21.02.2016
    Сообщений
    8
    Вес репутации
    30
    Ребята с наступающим вас, после праздников заберу комп и сделаю все это. Комп у хозяев. Заранее спасибо за помощь.

  9. #8
    Junior Member Репутация
    Регистрация
    21.02.2016
    Сообщений
    8
    Вес репутации
    30
    Цитата Сообщение от mike 1 Посмотреть сообщение
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
    Прикладываю.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от thyrex Посмотреть сообщение
    Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
    Не понял, как прислать карантин над первый сообщением! Прикладываю сюда, он совсем не большой.
    Так же прикладываю Заново собранные логи скриптов авз и хайджека.
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Внимание! Данный дешифратор предназначен только для пользователя TomskikhAA

    Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется

    Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.

    Дешифратор


    Принцип работы с дешифратором:

    1. Сохраните дешифратор в отдельную созданную папку.

    2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.
    Вложения Вложения
    • Тип файла: zip key.zip (192 байт, 2 просмотров)
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    21.02.2016
    Сообщений
    8
    Вес репутации
    30
    Цитата Сообщение от mike 1 Посмотреть сообщение
    [B][COLOR="#FF0000"]
    Принцип работы с дешифратором:

    1. Сохраните дешифратор в отдельную созданную папку.

    2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора.
    Спасибо огромное все ОК!
    Последний раз редактировалось TomskikhAA; 28.02.2016 в 16:06.

Похожие темы

  1. Ответов: 10
    Последнее сообщение: 20.02.2016, 23:36
  2. Ответов: 4
    Последнее сообщение: 11.02.2016, 22:14
  3. Ответов: 4
    Последнее сообщение: 05.10.2015, 22:33
  4. Ответов: 2
    Последнее сообщение: 10.01.2015, 18:45
  5. Ответов: 15
    Последнее сообщение: 03.02.2014, 22:23

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00521 seconds with 18 queries