Junior Member
Вес репутации
30
помогите! Вирус шифровальщик [not-a-virus:HEUR:Downloader.Win32.MediaGet.gen
]
Здравствуйте!
Вирус зашифровал все файлы на компьютере.
Пишет на рабочем столе: отправьте файл на эту почту [email protected]
Файлы стали вот такого вида:
[email protected] _graf1.ver -CL 1.0.0.0.u.id-ABCEEEFGHIJJJKKLLMNNNNOPPQQRSSSSTUUV-05.04.2016 11@25@385736497@@@@@6468-87B7.random...IIJJKKK.LLM.cb
Можно ли с этим справиться?
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ландшафт , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте,
Сами ставили MediaGet2?
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Program Files (x86)\iTVA\LoviVkontakte2\lvk2.exe','');
QuarantineFile('C:\Program Files (x86)\service.exe','');
QuarantineFile('C:\Users\пользователь\AppData\Local\MediaGet2\icudt53.dll','');
QuarantineFile('c:\users\пользователь\appdata\local\mediaget2\mediaget.exe','');
QuarantineFile('C:\Windows\system32\DRIVERS\GdmFilt.sys','');
QuarantineFile('C:\Windows\System32\Drivers\TFsExDisk.sys','');
DeleteFile('C:\Program Files (x86)\service.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Подготовьте новый лог AVZ согласно правилам.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
MediaGet2 не ставили.
Карантин отправили по ссылке.
Вложения
Сообщение от
ландшафт
MediaGet2 не ставили.
Удалите MediaGet2 через установку программ в панели управления.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Отчёт
- - - - -Добавлено - - - - -
Второй отчёт:
Вложения
Знакома настройка прокси?
ProxyEnable: [.DEFAULT] => Proxy is enabled.
ProxyServer: [.DEFAULT] => http=127.0.0.1:8080
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: MailRuBHO Class -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll => No File
BHO-x32: PhDHelp Class -> {C5BF9CA7-669F-4C41-BEE3-4DF388530422} -> C:\Program Files (x86)\VKMus\vkmus.dll => No File
Toolbar: HKLM-x32 - Спутник@Mail.Ru - {09900DE8-1DCA-443F-9243-26FF581438AF} - C:\Program Files (x86)\Mail.Ru\Sputnik\MailRuSputnik.dll No File
Toolbar: HKLM-x32 - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-919713473-178675085-1614418455-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-919713473-178675085-1614418455-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
CHR HKU\S-1-5-21-919713473-178675085-1614418455-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkkcgfbgohboipdhliafmacjnhjbhmim] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
2016-04-06 13:40 - 2016-04-06 13:40 - 00927422 _____ C:\Program Files (x86)\desk.bmp
2016-04-05 11:25 - 2016-04-06 13:40 - 00000095 _____ C:\Program Files (x86)\WKBTNESPGR.FEA
2016-04-04 11:43 - 2016-04-04 11:43 - 00000065 _____ C:\Program Files (x86)\OUGNKOJWIA.XUW
Folder: C:\Program Files (x86)\Ultra compressed
File: C:\Users\пользователь\intlname.ols
2016-04-06 13:40 - 2016-04-06 13:40 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
2016-04-06 13:40 - 2016-04-06 13:40 - 0153239 _____ () C:\Program Files (x86)\desk.jpg
2016-04-04 11:43 - 2016-04-04 11:43 - 0000065 _____ () C:\Program Files (x86)\OUGNKOJWIA.XUW
2016-04-05 11:25 - 2016-04-06 13:40 - 0000095 _____ () C:\Program Files (x86)\WKBTNESPGR.FEA
C:\Users\пользователь\AppData\Local\Temp\mediaget-uninstaller.exe
C:\Users\пользователь\AppData\Local\Temp\sender.exe
C:\Users\пользователь\AppData\Local\Temp\service.exe
C:\Users\пользователь\AppData\Local\Temp\updater.exe
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll (Google Inc.)
CustomCLSID: HKU\S-1-5-21-919713473-178675085-1614418455-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\пользователь\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
Task: {0E78377C-A197-42CA-B520-E593BB52D9B4} - \Обновление Браузера Яндекс -> No File <==== ATTENTION
HKU\S-1-5-21-919713473-178675085-1614418455-1000\Control Panel\Desktop\\Wallpaper -> C:\Program Files (x86)\desk.bmp
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Попробовали настроить прокси. Выдает фразу: Прокси сервер отказывается принимать соединения. Отключили снова.
Вложения
С расшифровкой не поможем.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Спасибо! Баннер с рабочего стола исчез.
Сообщение от
ландшафт
Спасибо! Баннер с рабочего стола исчез.
Всё вредоносное ПО как и баннер находяться в каталоге C:\FRST\QUARANTINE, до тех пор пока не решите вопрос с расшифровкой не удаляйте указанный каталог.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 3 В ходе лечения обнаружены вредоносные программы:
c:\users\пользователь\appdata\local\mediaget2\medi aget.exe - not-a-virus:HEUR:Downloader.Win32.MediaGet.gen