-
Junior Member (OID)
- Вес репутации
- 43
Помогите. Офисные файлы - *.doc *.docx *.xls и другие стали - приложением ENIGMA
Стоял антивирус Касперского, кончилась лицензия. Спустя какое-то время решил поставить бесплатный годовой Касперский. В момент его установки - установка застопорилась. Ушел на обед. После обеда на рабочем столе обнаружились файлы Enigma и allfilefinds.dat (высылаю вам), а также исполняемый файл в загрузках, и установленный плагин от Yandex. Плагин, Enigma и из Загрузок файлы я удалил. Заметил, что не открываются офисные файлы, подумал, что слетели ассоциации, скачал реестровый файлик возврата ассоциаций, он не помог. И потом только заметил - что офисные файлы стали типом ENIGMA. Все офисные файлы к своим расширениям прибавили *.enigma - удаление этого расширения к возврату своих свойств файла не приводит. Можно ли что-нибудь сделать? Высылаю вам несколько примеров файлов с добавочным расширением *.Enigma - и allfilefinds.dat, а также скриншоты. Все файлы поменяли расширение в минуту скачивания файла из Загрузки (который я удалил). Хотел запостить это в Помогите + - но я не нашел где там карточкой платить, PayPal у меня нет. Если получится расшифровать этот Enigma, подписку на Помогите+ в 499 рублей гарантирую, при более понятной ссылке на оплату карточкой, или любым другим способом.
https://cloud.mail.ru/public/K5LK/a7bjWp7ko
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Олег Гриценко, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
http://virusinfo.info/pravila.html
Сообщение от
Олег Гриценко
также исполняемый файл в загрузках
восстанавливайте, если бездумно удалили.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
-
Логи прикрепляют к сообщению, а не выкладывают на обменник
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
Сообщение от
thyrex
То есть, если ENIGMA не восстановить - файлы не отремонтировать?
-
Если не восстановить, то нереально вообще узнать, что за алгоритм шифрования
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
Сообщение от
thyrex
Логи прикрепляют к сообщению, а не выкладывают на обменник
Высылаю логи, попробую восстановить Enigma с рабочего стола. А исполняемый файл из Загрузок тоже восстановить?
-
Конечно, восстанавливать.
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lymfwiwfyhwdgj');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyProgram');
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
Сообщение от
thyrex
Конечно, восстанавливать.
Выполните скрипт в AVZ
Код:
begin
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','lymfwiwfyhwdgj');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyProgram');
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Восстановление на рабочем столе и в загрузках файлов не нашло (((
Вот эти две указанные вами строчки я (до прочтения вашего ответа) сейчас только увидел в автозагрузке и удалил их в реестре вручную. Сейчас не имею возможности пока новые логи выложить. Но я запустил еще проверку AVPTools - и он нашел мне в Загрузках
два трояна под сценарием JS - с тем же временем - когда все файлы поменяли расширение (и с именем документа главное, "Свидетельство о регистрации частного предприятия". Я его заархивировал и высылаю Вам. Это не он, зараза, всё мне сделал?
Последний раз редактировалось thyrex; 03.05.2016 в 08:49.
-
Сделайте лог полного сканирования МВАМ
- - - - -Добавлено - - - - -
Поищите файл ENIGMA_ID.RSA (должен быть на Рабочем столе) и пришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
Сообщение от
thyrex
Сделайте лог
полного сканирования МВАМ
- - - - -Добавлено - - - - -
Поищите файл ENIGMA_ID.RSA (должен быть на Рабочем столе) и пришлите
MBAM я посканировал, а ENIGMA_ID.RSA с рабочего стола тремя утилитами не нашел...
-
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
Сообщение от
thyrex
Скачайте
Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите
Yes для соглашения с предупреждением.
2. Убедитесь, что в окне
Optional Scan отмечены
List BCD,
Driver MD5 и
90 Days Files.
3. Нажмите кнопку
Scan.
4. После окончания сканирования будет создан отчет (
FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (
Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в
один архив) и прикрепите к сообщению.
Сделал
-
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
Сообщение от
thyrex
1. Откройте
Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
Reboot:
2. Нажмите
Файл –
Сохранить как
3. Выберите папку, откуда была запущена утилита
Farbar Recovery Scan Tool
4. Укажите
Тип файла –
Все файлы (*.*)
5. Введите имя файла
fixlist.txt и нажмите кнопку
Сохранить
6. Запустите FRST, нажмите один раз на кнопку
Fix и подождите. Программа создаст лог-файл (
Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Сделал
-
На данный момент больше помочь нечем (а возможно и никогда не получится)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
Сообщение от
thyrex
На данный момент больше помочь нечем (а возможно и никогда не получится)
Спасибо большое за уделенное внимание. А скажите - если-бы Enigma с рабочего стола была - можно было-бы восстановить? И откуда эта зараза попала на компьютер? Это был этот ява сценарий из загрузок?
-
Сообщение от
Олег Гриценко
А скажите - если-бы Enigma с рабочего стола была - можно было-бы восстановить?
Скорее нет, чем да.
Сообщение от
Олег Гриценко
Это был этот ява сценарий из загрузок?
Да, exe-файл извлекался из самого скрипта
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member (OID)
- Вес репутации
- 43
А скажите, этот файл появился в загрузках в 13:07 и имел имя документа типа "Свидетельство о регистрации предприятия" - но пользователь говорит что ничего не качал вообще, как этот файл мог оказаться в Загрузках? (браузер Мозилла?) - он мог сам закачаться?