Добрый день! Ситуация стандартная, файлы зашифровались, в каждой папке тхт-файл с требованием связаться по почте, почта молчит. Работа встала...
Загружаю необходимые логи:
Добрый день! Ситуация стандартная, файлы зашифровались, в каждой папке тхт-файл с требованием связаться по почте, почта молчит. Работа встала...
Загружаю необходимые логи:
Уважаемый(ая) deathskill, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe',''); QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe',''); TerminateProcessByName('c:\users\indiv_000\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe'); QuarantineFile('c:\users\indiv_000\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe',''); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gegryooeyi'); DeleteFile('c:\users\indiv_000\appdata\roaming\utorrent\updates\3.4.6_42094\utorrentie.exe','32'); DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRB Updater Utility Service','64'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64'); DeleteFile('F:\autorun.inf','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Обновите базы AVZ
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
загрузил
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
готово
заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.C:\Users\indiv_000\AppData\Local\Temp\6EvcIWer0myv .exe
C:\Users\indiv_000\AppData\Local\Temp\7tvgSq3bYPx2 .exe
C:\Users\indiv_000\AppData\Local\Temp\850t5ueicNsX .exe
C:\Users\indiv_000\AppData\Local\Temp\AlSzqD3RCcTE .exe
C:\Users\indiv_000\AppData\Local\Temp\bCT6BTqPvamN .exe
C:\Users\indiv_000\AppData\Local\Temp\cfk7t8AoITaE .exe
C:\Users\indiv_000\AppData\Local\Temp\DCzX98BkVUDi .exe
C:\Users\indiv_000\AppData\Local\Temp\F6pITo1HRkgL .exe
C:\Users\indiv_000\AppData\Local\Temp\IQBR0hF2BSlQ .exe
C:\Users\indiv_000\AppData\Local\Temp\JP6ZaFKHKRgJ .exe
C:\Users\indiv_000\AppData\Local\Temp\k9RTAJ0hGSV2 .exe
C:\Users\indiv_000\AppData\Local\Temp\kwjWc9oUPEAG .exe
C:\Users\indiv_000\AppData\Local\Temp\pZkH0jrNEOxG .exe
C:\Users\indiv_000\AppData\Local\Temp\rYzBRHQBQnP2 .exe
C:\Users\indiv_000\AppData\Local\Temp\sT0yiwHldItE .exe
C:\Users\indiv_000\AppData\Local\Temp\Sy0gXrb50aBv .exe
C:\Users\indiv_000\AppData\Local\Temp\U64DSLFcUtgm .exe
C:\Users\indiv_000\AppData\Local\Temp\up2date2.exe
C:\Users\indiv_000\AppData\Local\Temp\utVsM8wPZnlm .exe
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM-x32\...\Run: [] => [X] CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://www.istartsurf.com/?type=hp&ts=1443972622&z=aad28037d77caa4e67a70begez3zec4tcmfo9zam5w&from=cor&uid=KINGSTONXSV300S37A120G_50026B7234027121","hxxp://www.omniboxes.com/?type=hp&ts=1448612692&z=fcb17212a616304bbb1cb96g3z3z4bfq6gdo4mft4w&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B7234027121","hxxp://www.yoursites123.com/?type=hp&ts=1449837784&z=49dff14022ecfe8c25b589dgdz5z7t4b2c1m4b6tcb&from=ient07021&uid=KINGSTONXSV300S37A120G_50026B7234027121","hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg" C:\Users\indiv_000\AppData\Local\Temp\6EvcIWer0myv.exe C:\Users\indiv_000\AppData\Local\Temp\7tvgSq3bYPx2.exe C:\Users\indiv_000\AppData\Local\Temp\850t5ueicNsX.exe C:\Users\indiv_000\AppData\Local\Temp\AlSzqD3RCcTE.exe C:\Users\indiv_000\AppData\Local\Temp\bCT6BTqPvamN.exe C:\Users\indiv_000\AppData\Local\Temp\cfk7t8AoITaE.exe C:\Users\indiv_000\AppData\Local\Temp\DCzX98BkVUDi.exe C:\Users\indiv_000\AppData\Local\Temp\F6pITo1HRkgL.exe C:\Users\indiv_000\AppData\Local\Temp\IQBR0hF2BSlQ.exe C:\Users\indiv_000\AppData\Local\Temp\JP6ZaFKHKRgJ.exe C:\Users\indiv_000\AppData\Local\Temp\k9RTAJ0hGSV2.exe C:\Users\indiv_000\AppData\Local\Temp\kwjWc9oUPEAG.exe C:\Users\indiv_000\AppData\Local\Temp\pZkH0jrNEOxG.exe C:\Users\indiv_000\AppData\Local\Temp\rYzBRHQBQnP2.exe C:\Users\indiv_000\AppData\Local\Temp\sT0yiwHldItE.exe C:\Users\indiv_000\AppData\Local\Temp\Sy0gXrb50aBv.exe C:\Users\indiv_000\AppData\Local\Temp\U64DSLFcUtgm.exe C:\Users\indiv_000\AppData\Local\Temp\up2date2.exe C:\Users\indiv_000\AppData\Local\Temp\utVsM8wPZnlm.exe AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFR8HT01HCGB4MFLV3RGNHC7B06HFSVF7VB4VP4GV [971] AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_SBXNV9VVGV1BFR8HT01HCGB4MFLV3RGNHC7B06HFSVF7VB4VP4GV [971] AlternateDataStreams: C:\Users\Все пользователи:$SS_DESCRIPTOR_SBXNV9VVGV1BFR8HT01HCGB4MFLV3RGNHC7B06HFSVF7VB4VP4GV [971] AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFR8HT01HCGB4MFLV3RGNHC7B06HFSVF7VB4VP4GV [971] AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [124] AlternateDataStreams: C:\Users\Все пользователи\Application Data:$SS_DESCRIPTOR_SBXNV9VVGV1BFR8HT01HCGB4MFLV3RGNHC7B06HFSVF7VB4VP4GV [971] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [124] Task: {1005C9E3-FC8E-4281-8480-0E0122E44468} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION Task: {9A75A377-058C-4548-A5A3-3590BE337407} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION Task: {BB6CA2B7-9AD7-4430-B65C-8E57E16C1C78} - \Microsoft\Windows\A838E5A66-4D08-48AC-AF28-AC8C2479A4D4 -> No File <==== ATTENTION Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Я не нашел указанных exe-файлов в этой папке. Они могут быть скрыты?
Возможно
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Без карантина имеет смысл писать лог?
Выполняйте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
загружаю
Теперь вспоминайте, как подцепили шифратор. Без его тела расшифровку не написать
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
То есть мне сюда загрузить надо exe-файл, который я запустил? Этого труда не составит, в каком виде загрузить надо, подскажите, пожалуйста?
Заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Загрузил
Образцы шифрованных файлов пришлите
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файлы прислать через "Прислать запрошенный карантин" или просто в сообщении?
Загрузите на rghost.ru в архиве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Уважаемый(ая) deathskill, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.