Добрый день, уважаемые.
Как никогда требуется ваша помощь и участие.
После открытия мамой вложения в письмо картина следующая - все файлы приобрели зашифрованный вид и расширение "better_call_saul"
Требуется оперативная помощь.
Запрашиваемые правилами оформления запросов файлы(архивы) во вложении.
Спасибо за ваше внимание.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Head1iner, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\NSC1\Local Settings\Application Data\Evction\vwqbywpp.dll','');
QuarantineFile('C:\Intel\COPY_from1.cmd','');
QuarantineFile('C:\Documents and Settings\NSC1\Local Settings\Application Data\Umlwmedia\vwqbywpp.dll','');
DeleteFile('C:\Documents and Settings\NSC1\Local Settings\Application Data\Evction\vwqbywpp.dll','32');
DeleteFile('C:\WINDOWS\Tasks\COPY_from1.job','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Umlwmedia','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YfnlPack','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Приложите новый лог AVZ.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Спасибо вам, за участие
Итак,
"C:\Intel\COPY_from1.cmd" - мне не знаком
Первый опубликованный Вами скрипт выполнен успешно, компьютер после перезагрузки даже не загружаю ярлыки на рабочем столе подумал и через минуты три ушел опять в перезагрузку, сеть при этом не включалась.
После второй перезагрузки все проходило в штатном режиме, не обращая внимание на то, что обои с угрожающими надписями, что "Все важные файлы зашифрованы..." все еще остаются выполнил второй присланный вами скрипт, после чего полученный архив "quarantine.zip" прикрепил и отослал вам по ссылки в шапке заявки.
новый лог AVZ не понял как достать, поэтому решил выполнить в AVZ "Скрипт спора информации для раздела "Помогите" его и прикрепляю.
Посмотрите его, файле прописано копирование данных в какой-то промежут времени в каталог Z: (Diskstation\homes\NSC1)
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\NSC1\Local Settings\Application Data\Evction\vwqbywpp.dll','');
QuarantineFile('C:\Documents and Settings\NSC1\Local Settings\Application Data\Umlwmedia\vwqbywpp.dll','');
QuarantineFile('C:\WINDOWS\Installer\8eaff8.msi','');
DeleteFile('C:\Documents and Settings\NSC1\Local Settings\Application Data\Evction\vwqbywpp.dll','32');
DeleteFile('C:\Documents and Settings\NSC1\Local Settings\Application Data\Umlwmedia\vwqbywpp.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Umlwmedia','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YfnlPack','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad','CDBurn');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Благодарю за уделенное время, других вариантов для расшифровки как я полагаю нет!?
На данный момент, мы не сможем помочь, если есть лицензий на антивирусные продукты (например Лаборатории Касперского), то можете попробовать обратиться за помощью к ним.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: