Было открыто вложение в письме, вирус зашифровал файлы (изменил расширение на *.da_vinci_code).
Прошу помочь с расшифровкой файлов.
Если есть возможность помочь, оплатим все требуемые услуги.
Спасибо!
Было открыто вложение в письме, вирус зашифровал файлы (изменил расширение на *.da_vinci_code).
Прошу помочь с расшифровкой файлов.
Если есть возможность помочь, оплатим все требуемые услуги.
Спасибо!
Уважаемый(ая) wize, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\Crazy Shopperama\crazy_shopperama_helper_service.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\newSI_4396\s_inst.exe',''); QuarantineFile('C:\Program Files (x86)\shopping blast\shopping_blast_notification_service.exe',''); QuarantineFile('C:\Program Files (x86)\shopping blast\shopping_blast_updating_service.exe',''); QuarantineFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-5.exe',''); QuarantineFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-4.exe',''); QuarantineFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-3.exe',''); QuarantineFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-11.exe',''); QuarantineFile('C:\Program Files (x86)\HD+V1.0\HD+V1.0-codedownloader.exe',''); TerminateProcessByName('c:\program files (x86)\hd+v1.0\hd+v1.0-bg.exe'); QuarantineFile('c:\program files (x86)\hd+v1.0\hd+v1.0-bg.exe',''); DelBHO('{11111111-1111-1111-1111-110611091100}'); QuarantineFile('C:\Program Files (x86)\HD+V1.0\HD+V1.0-bho.dll',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\iSmileg\iSmileg.exe',''); QuarantineFile('C:\Users\Александр\AppData\Roaming\eTranslator\eTranslator.exe',''); QuarantineFile('C:\ProgramData\Program status\scheck.exe',''); QuarantineFile('C:\Users\Александр\AppData\Local\Builder Call\Bin\yeebf.dll',''); QuarantineFile('C:\Users\Александр\AppData\Local\Builder Call\Bin\BuilderCall.dll',''); TerminateProcessByName('c:\programdata\schedule\timetasks.exe'); QuarantineFile('c:\programdata\schedule\timetasks.exe',''); TerminateProcessByName('c:\users\Александр\appdata\roaming\newsi_4396\s_inst.exe'); QuarantineFile('c:\users\Александр\appdata\roaming\newsi_4396\s_inst.exe',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('c:\programdata\schedule\timetasks.exe','32'); DeleteFile('c:\users\Александр\appdata\roaming\newsi_4396\s_inst.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\Builder Call\Bin\BuilderCall.dll','32'); DeleteFile('C:\Users\Александр\AppData\Local\Builder Call\Bin\yeebf.dll','32'); DeleteFile('C:\ProgramData\Program status\scheck.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sCloudStatusCheck'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule'); DeleteFile('C:\Users\Александр\AppData\Roaming\eTranslator\eTranslator.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\iSmileg\iSmileg.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iSmileg Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update'); DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32'); DeleteFile('C:\Program Files (x86)\HD+V1.0\HD+V1.0-bho.dll','32'); DeleteFile('c:\program files (x86)\hd+v1.0\hd+v1.0-bg.exe','32'); DeleteFile('C:\Program Files (x86)\HD+V1.0\HD+V1.0-codedownloader.exe','32'); DeleteFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-11.exe','32'); DeleteFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-3.exe','32'); DeleteFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-4.exe','32'); DeleteFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-5.exe','32'); DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-5.job','32'); DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-4.job','32'); DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-3.job','32'); DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-11.job','32'); DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-1.job','32'); DeleteFile('C:\Windows\Tasks\1ryjndTXRPJml5X.job','32'); DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-5_user.job','32'); DeleteFile('C:\Windows\Tasks\crazy_shopperama_helper_service.job','32'); DeleteFile('C:\Windows\Tasks\newSI_4396.job','32'); DeleteFile('C:\Windows\Tasks\shopping_blast_notification_service.job','32'); DeleteFile('C:\Windows\Tasks\shopping_blast_updating_service.job','32'); DeleteFile('C:\Program Files (x86)\shopping blast\shopping_blast_updating_service.exe','32'); DeleteFile('C:\Program Files (x86)\shopping blast\shopping_blast_notification_service.exe','32'); DeleteFile('C:\Users\Александр\AppData\Roaming\newSI_4396\s_inst.exe','32'); DeleteFile('C:\Program Files (x86)\Crazy Shopperama\crazy_shopperama_helper_service.exe','32'); DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-1','64'); DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-11','64'); DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-3','64'); DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-4','64'); DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-5','64'); DeleteFile('C:\Windows\system32\Tasks\Builder Call','64'); DeleteFile('C:\Windows\system32\Tasks\CpbUHtNQyt','64'); DeleteFile('C:\Windows\system32\Tasks\crazy_shopperama_helper_service','64'); DeleteFile('C:\Windows\system32\Tasks\newSI_4396','64'); DeleteFile('C:\Windows\system32\Tasks\shopping_blast_notification_service','64'); DeleteFile('C:\Windows\system32\Tasks\shopping_blast_updating_service','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за ответ!
Карантин и новые логи отправил.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог MBAM
Удалите в МВАМ все, кроме
Код:Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, "C:\Program Files\ESET\TNod User & Password Finder\TNODUP.exe" /i, , [2f5e5e9a6b2e90a6f2db3f281ce8936d] Trojan.Agent.CK, C:\Program Files\ESET\TNod User & Password Finder\TNODUP.exe, , [2f5e5e9a6b2e90a6f2db3f281ce8936d], Trojan.Agent.CK, C:\Program Files\ESET\TNod User & Password Finder\uninst-tnod.exe, , [a4e9f3052079de5804c92344a65e39c7],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удалил.
Для меня главное возможность расшифровки файлов, систему можно и переустановить.
Расшифровать возможно?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за работу!
А кто может расшифровать, можете порекомендовать?
Только сами злодеи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 19
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\crazy shopperama\crazy_shopperama_helper_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.anss ( BitDefender: Adware.Mplug.KB )
- c:\program files (x86)\hd+v1.0\hd+v1.0-bg.exe - Trojan.NSIS.GoogUpdate.br ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Adware.Crossrider.AT )
- c:\program files (x86)\hd+v1.0\hd+v1.0-bho.dll - Trojan.NSIS.GoogUpdate.br ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.Ky9@myIXKuei )
- c:\program files (x86)\hd+v1.0\hd+v1.0-codedownloader.exe - Trojan.NSIS.GoogUpdate.br ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.Iu1@mmYk1nnO, AVAST4: Win32:Adware-gen [Adw] )
- c:\program files (x86)\hd+v1.0\69292938-2d26-4bd9-a091-99576ab8366a-11.exe - Trojan.NSIS.GoogUpdate.br ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.3v1@m4TEnwjO, AVAST4: Win32:Adware-gen [Adw] )
- c:\program files (x86)\hd+v1.0\69292938-2d26-4bd9-a091-99576ab8366a-3.exe - Trojan.NSIS.GoogUpdate.br ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.3v1@m4TEnwjO, AVAST4: Win32:Adware-gen [Adw] )
- c:\program files (x86)\hd+v1.0\69292938-2d26-4bd9-a091-99576ab8366a-4.exe - Trojan.NSIS.GoogUpdate.br ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Adware.Crossrider.AV, AVAST4: Win32:Adware-gen [Adw] )
- c:\program files (x86)\hd+v1.0\69292938-2d26-4bd9-a091-99576ab8366a-5.exe - Trojan.NSIS.GoogUpdate.br ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.Eu1@myw8TthO, AVAST4: Win32:Adware-gen [Adw] )
- c:\program files (x86)\shopping blast\shopping_blast_notification_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.apew ( DrWEB: Trojan.Crossrider1.24381, BitDefender: Gen:Variant.Adware.Mikey.10000 )
- c:\program files (x86)\shopping blast\shopping_blast_updating_service.exe - not-a-virus:WebToolbar.Win32.CrossRider.apwk ( BitDefender: Adware.Crossrider.DT )
- c:\programdata\program status\scheck.exe - not-a-virus:Downloader.Win32.ZxrLoader.c ( DrWEB: Adware.Zaxar.6, BitDefender: Application.WPT )
- c:\programdata\schedule\timetasks.exe - not-a-virus:Downloader.Win32.ZxrLoader.d ( DrWEB: Trojan.DownLoad3.34005, BitDefender: Application.WPT )
- c:\users\александр\appdata\local\builder call\bin\buildercall.dll - not-a-virus:AdWare.Win32.CrossRider.ahdj ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\александр\appdata\roaming\ismileg\ismileg .exe - not-a-virus:WebToolbar.Win32.eTranslator.a ( AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\александр\appdata\roaming\newsi_4396\s_in st.exe - not-a-virus:AdWare.Win32.MediaMagnet.c ( DrWEB: Trojan.Fakealert.47162 )
Уважаемый(ая) wize, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.