Показано с 1 по 5 из 5.

расширение crime [not-a-virus:AdWare.Win32.Amonetize.cinf, not-a-virus:HEUR:Downloader.MSIL.Temonde.gen ] (заявка № 197374)

  1. #1
    Junior Member Репутация
    Регистрация
    21.02.2016
    Сообщений
    2
    Вес репутации
    30

    расширение crime [not-a-virus:AdWare.Win32.Amonetize.cinf, not-a-virus:HEUR:Downloader.MSIL.Temonde.gen ]

    Здравствуйте!

    Есть ноутбук с зашифрованными файлами. Шифровальщик дописал к названию файла расширение crime.
    В каждой папке с зашифрованными файлами текстовый файл с содержанием:

    Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
    1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/...d-easy.html.en
    2) Установите и запустите 'Tor Browser'
    3) Перейдите по ссылке http://lmlxhqpsvdylun4v.onion в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
    4) Следуйте инструкциям на сайте
    virusinfo_autoquarantine.zip
    virusinfo_syscheck.zip
    hijackthis.log

    спасибо

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,286
    Вес репутации
    378
    Уважаемый(ая) moretti, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\user\appdata\roaming\aspackage\uninstall.exe','');
     QuarantineFile('C:\Users\user\appdata\roaming\aspackage\aspackage.exe','');
     QuarantineFile('C:\Users\user\appdata\local\microsoft\windows\toolbar.exe','');
     QuarantineFile('C:\Users\user\AppData\Roaming\FreeVPN\FreeVPN.exe','');
     QuarantineFile('C:\Program Files\Microsoft Data\InstallAddons.exe','');
     QuarantineFile('C:\Users\user\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
     QuarantineFile('C:\Users\user\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
     DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
     DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
     QuarantineFile('C:\Program Files\advPlugin\Toolbar32.dll','');
     QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
     QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
     QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
     QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
     QuarantineFile('C:\Program Files\SpaceSoundPro\idscservice.exe','');
     QuarantineFile('C:\Users\user\AppData\Local\gmsd_re_005010244\upgmsd_re_005010244.exe','');
     QuarantineFile('C:\Program Files\rec_ua_204\rec_ua_204.exe','');
     DeleteService('TSSK');
     DeleteService('TS888');
     DeleteService('QMUdisk');
     DeleteService('zigipyro');
     QuarantineFile('C:\Users\user\AppData\Local\7079E8C0-1456069945-11B2-8000-98831708183A\qnsj75DD.tmp','');
     QuarantineFile('C:\Program Files\7079E8C0-1456061427-11B2-8000-98831708183A\hnsaDECC.tmp','');
     QuarantineFile('C:\Program Files\Dolphin Deals\updateDolphinDeals.exe','');
     QuarantineFile('C:\Program Files\7079E8C0-1456061427-11B2-8000-98831708183A\knsq9B7E.tmpfs','');
     DeleteService('Update Dolphin Deals');
     DeleteService('tohohylyzbt');
     DeleteService('SSFK');
     QuarantineFile('C:\Program Files\SFK\SSFK.exe','');
     QuarantineFile('C:\Users\user\AppData\Local\7079E8C0-1456068947-11B2-8000-98831708183A\snsx3C9.tmp','');
     DeleteService('rowugoqo');
     DeleteService('LiveUpdateSvc');
     QuarantineFile('C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe','');
     QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.dll','');
     TerminateProcessByName('c:\program files\rec_ua_204\rec_ua_204.exe');
     TerminateProcessByName('c:\users\user\appdata\local\gmsd_re_005010244\upgmsd_re_005010244.exe');
     QuarantineFile('c:\users\user\appdata\local\gmsd_re_005010244\upgmsd_re_005010244.exe','');
     QuarantineFile('c:\program files\rec_ua_204\rec_ua_204.exe','');
     DeleteFile('c:\program files\rec_ua_204\rec_ua_204.exe','32');
     DeleteFile('c:\users\user\appdata\local\gmsd_re_005010244\upgmsd_re_005010244.exe','32');
     DeleteFile('C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe','32');
     DeleteFile('C:\Users\user\AppData\Local\7079E8C0-1456068947-11B2-8000-98831708183A\snsx3C9.tmp','32');
     DeleteFile('C:\Program Files\SFK\SSFK.exe','32');
     DeleteFile('C:\Program Files\7079E8C0-1456061427-11B2-8000-98831708183A\knsq9B7E.tmpfs','32');
     DeleteFile('C:\Program Files\Dolphin Deals\updateDolphinDeals.exe','32');
     DeleteFile('C:\Program Files\7079E8C0-1456061427-11B2-8000-98831708183A\hnsaDECC.tmp','32');
     DeleteFile('C:\Users\user\AppData\Local\7079E8C0-1456069945-11B2-8000-98831708183A\qnsj75DD.tmp','32');
     DeleteFile('C:\windows\system32\tssk.sys','32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.8.16208.227\TS888.sys','32');
     DeleteFile('C:\Program Files\Tencent\QQPCMgr\10.8.16208.227\QMUdisk.sys','32');
     DeleteFile('C:\Program Files\rec_ua_204\rec_ua_204.exe','32');
     DeleteFile('C:\Users\user\AppData\Local\gmsd_re_005010244\upgmsd_re_005010244.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_re_005010244.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_ua_204');
     DeleteFile('C:\Program Files\SpaceSoundPro\idscservice.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IDSCPRODUCT','command');
     DeleteFile('C:\Users\user\AppData\Local\Temp\qq-app-helper.exe','32');
     DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qq-app-helper','command');
     DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command');
     DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
     DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ziqjrxxjss','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tirclguhku','command');
     DeleteFile('C:\Program Files\Twilight Tech\Pretty Search\dummyDlg.exe','32');
     DeleteFile('C:\Program Files\advPlugin\Toolbar32.dll','32');
     DeleteFile('C:\Users\user\AppData\Local\9359\a11027.exe','32');
     DeleteFile('C:\windows\Tasks\AmiUpdXp.job','32');
     DeleteFile('C:\Users\user\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\windows\Tasks\Digital Sites.job','32');
     DeleteFile('C:\windows\Tasks\DSite.job','32');
     DeleteFile('C:\Users\user\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
     DeleteFile('C:\windows\system32\Tasks\AmiUpdXp','32');
     DeleteFile('C:\windows\system32\Tasks\chrome5','32');
     DeleteFile('C:\windows\system32\Tasks\chrome5_logon','32');
     DeleteFile('C:\Program Files\Microsoft Data\InstallAddons.exe','32');
     DeleteFile('C:\windows\system32\Tasks\Digital Sites','32');
     DeleteFile('C:\windows\system32\Tasks\DSite','32');
     DeleteFile('C:\Users\user\AppData\Roaming\FreeVPN\FreeVPN.exe','32');
     DeleteFile('C:\windows\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','32');
     DeleteFile('C:\PROGRAM FILES\RISING\RAV\rsdelaylauncher.exe','32');
     DeleteFile('C:\windows\system32\Tasks\RsDelayLauncher_{8A34248E-7D35-4832-8378-7659E0B0A380}','32');
     DeleteFile('C:\windows\system32\Tasks\{A832C042-0017-4EE9-909C-69F2A481AB1E}','32');
     DeleteFile('C:\Users\user\Downloads\amigo_adsetup_nwnautoflashbloc26ch.exe','32');
     DeleteFile('C:\Users\user\appdata\everything\sfkex64.exe','32');
     DeleteFile('C:\Users\user\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32');
     DeleteFile('C:\Users\user\appdata\local\microsoft\windows\toolbar.exe','32');
     DeleteFile('C:\Users\user\appdata\roaming\aspackage\aspackage.exe','32');
     DeleteFile('C:\Users\user\appdata\roaming\aspackage\uninstall.exe','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    21.02.2016
    Сообщений
    2
    Вес репутации
    30
    Выполнено

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 57
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\spacesoundpro\idscservice.exe - not-a-virus:HEUR:Downloader.MSIL.Temonde.gen
      2. c:\programdata\program status\scheck.exe - not-a-virus:Downloader.Win32.ZxrLoader.c ( DrWEB: Adware.Zaxar.6, BitDefender: Trojan.Generic.11651466 )
      3. c:\users\user\appdata\local\microsoft\windows\tool bar.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.MulDrop5.43408, AVAST4: MSIL:GenMalicious-DTC [Trj] )
      4. c:\users\user\appdata\roaming\aspackage\aspackage. exe - not-a-virus:AdWare.Win32.Vopak.begc
      5. c:\users\user\appdata\roaming\aspackage\uninstall. exe - not-a-virus:AdWare.Win32.Vopak.bege
      6. c:\users\user\appdata\roaming\freevpn\freevpn.exe - not-a-virus:AdWare.Win32.Amonetize.cinf


  • Уважаемый(ая) moretti, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус зашифровал файлы (расширение crime)
      От AkANz в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.02.2016, 00:41
    2. Ответов: 11
      Последнее сообщение: 23.02.2016, 22:20
    3. Ответов: 14
      Последнее сообщение: 20.02.2016, 16:15
    4. Ответов: 2
      Последнее сообщение: 18.02.2016, 20:09

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00539 seconds with 18 queries