Показано с 1 по 10 из 10.

Cryptolocker зашифровал все файлы [not-a-virus:NetTool.Win64.NetFilter.lf, not-a-virus:HEUR:AdWare.Win32.Mewishid.gen ] (заявка № 205801)

  1. #1
    Junior Member Репутация
    Регистрация
    11.11.2016
    Сообщений
    8
    Вес репутации
    32

    Cryptolocker зашифровал все файлы [not-a-virus:NetTool.Win64.NetFilter.lf, not-a-virus:HEUR:AdWare.Win32.Mewishid.gen ]

    Вчера Cryptolocker заблокировал файлы. Помогите, пожалуйста, расшифровать, если это возможно. На рабочем столе создано несколько файлов txt с таким содержанием: Support e-mail: [email protected] [email protected]

    Your personal files encryption produced on this computer: photos, videos, documents, etc.
    Encryption was produced using a unique public key RSA-2048 generated for this computer.


    To decrypt files you need to obtain the private key.


    The single copy of the private key, which will allow to decrypt the files,
    located on a secret server on the Internet; the server will destroy the key after 120 hours.


    After that nobody and never will be able to restore files.


    To obtain the private key for this computer, you need pay 0.35 Bitcoin (~244 USD)


    ---------------------------------------------------------------------------------------------------


    Your Bitcoin address:


    1NbzXbqSGudJ75LuWvkAxtDr55ffkZRZ6j


    You must send 0.35 Bitcoin to the specified address and report it to e-mail customer support.


    In the letter must specify your Bitcoin address to which the payment was made.


    ---------------------------------------------------------------------------------------------------


    The most convenient tool for buying Bitcoins in our opinion is the site:


    https://localbitcoins.com/


    There you can buy Bitcoins in your country in any way you like, including electronic payment systems,
    credit and debit cards, money orders, and others.


    Instructions for purchasing Bitcoins on account localbitcoins.com read here:


    https://localbitcoins.com/guides/how-to-buy-bitcoins


    Video tutorial detailing on buying Bitcoins using the site localbitcoins.com here:


    http://www.youtube.com/watch?v=hroPcR-0zSI


    How to withdraw Bitcoins from account localbitcoins.com to our bitcoin wallet:


    https://localbitcoins.com/faq#howto_buy


    Also you can use to buy Bitcoins these sites:


    https://www.bitstamp.net/ - Big BTC exchanger
    https://www.coinbase.com/ - Other big BTC exchanger
    https://www.moneypakforbitcoins.us/ - Buy BTC via Green Dot MoneyPak
    https://btcdirect.eu/ - Best for Europe
    https://coincafe.com/ - Recommended for fast, many payment methods
    https://bittylicious.com/ - Good service for Europe and World
    https://www.247exchange.com/ - Other exchanger
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    383
    Уважаемый(ая) JulioKirio, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3108
    C:\Users\Julia\AppData\Local\Ovics\tmp197B.exe
    c:\users\julia\appdata\local\microsoft\protect\pro tecthost.dll
    C:\Users\Администратор\AppData\Roaming\52f8af\f9be 1b.6e5b034
    C:\Users\Julia\AppData\Roaming\52f8af\f9be1b.6e5b0 34
    C:\Users\Julia\AppData\Roaming\Microsoft\Crypto\sy sras.exe
    C:\Users\Julia\AppData\Local\Ovics\vnljakml.dll
    C:\Users\Julia\AppData\Local\IQQsoft\qccdytlr.dll
    заархивируйте с паролем virus, выложите на www.sendspace.com и пришлите ссылку мне в личные сообщения

    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Julia\AppData\Local\Ovics\tmp197B.exe','');
     QuarantineFile('C:\Program Files\contentprotector\nss\certutil.exe','');
     QuarantineFile('C:\Program Files\contentprotector\import_root_cert.exe','');
     QuarantineFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','');
     QuarantineFile('C:\Program Files\contentprotector\contentprotector.exe','');
     QuarantineFile('C:\Program Files\contentprotector\contentprotectordrv.sys','');
     QuarantineFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','');
     QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe','');
     QuarantineFile('C:\Program Files\contentprotector\condefclean.exe','');
     QuarantineFile('c:\users\julia\appdata\local\microsoft\protect\protecthost.dll','');
     QuarantineFile('C:\Users\Администратор\AppData\Roaming\52f8af\f9be1b.6e5b034','');
     QuarantineFile('C:\Users\Julia\AppData\Roaming\52f8af\f9be1b.6e5b034','');
     QuarantineFile('C:\Users\Julia\AppData\Roaming\Microsoft\Crypto\sysras.exe','');
     QuarantineFile('C:\Users\Julia\AppData\Local\Ovics\vnljakml.dll','');
     QuarantineFile('C:\Users\Julia\AppData\Local\IQQsoft\qccdytlr.dll','');
     TerminateProcessByName('c:\users\julia\appdata\local\ovics\tmp197b.exe');
     QuarantineFile('c:\users\julia\appdata\local\ovics\tmp197b.exe','');
     QuarantineFile('C:\Program Files\BDAntiCryptoLocker\BDAntiCryptoLocker.exe','');
     DeleteFile('c:\users\julia\appdata\local\ovics\tmp197b.exe','32');
     DeleteFile('C:\Users\Julia\AppData\Local\IQQsoft\qccdytlr.dll','32');
     DeleteFile('C:\Users\Julia\AppData\Local\Ovics\vnljakml.dll','32');
     DeleteFile('C:\Users\Julia\AppData\Roaming\Microsoft\Crypto\sysras.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2e7a6119');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YjbPack');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQQsoft');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ovics');
     DeleteFile('C:\Users\Julia\AppData\Roaming\52f8af\f9be1b.6e5b034','32');
     DeleteFile('C:\Users\Администратор\AppData\Roaming\52f8af\f9be1b.6e5b034','32');
     DeleteFile('C:\Program Files\contentprotector\condefclean.exe','32');
     DeleteFile('c:\users\julia\appdata\local\microsoft\protect\protecthost.dll','32');
     DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe','32');
     DeleteFile('C:\Program Files\contentprotector\contentprotectorconrol.exe','32');
     DeleteFile('C:\Program Files\contentprotector\contentprotectordrv.sys','32');
     DeleteFile('C:\Program Files\contentprotector\contentprotector.exe','32');
     DeleteFile('C:\Program Files\contentprotector\contentprotectorupdate.exe','32');
     DeleteFile('C:\Program Files\contentprotector\import_root_cert.exe','32');
     DeleteFile('C:\Program Files\contentprotector\libeay32.dll','32');
     DeleteFile('C:\Program Files\contentprotector\nss\certutil.exe','32');
     DeleteFile('C:\Program Files\contentprotector\nss\mozcrt19.dll','32');
     DeleteFile('C:\Program Files\contentprotector\nss\nspr4.dll','32');
     DeleteFile('C:\Program Files\contentprotector\nss\nss3.dll','32');
     DeleteFile('C:\Program Files\contentprotector\nss\plc4.dll','32');
     DeleteFile('C:\Program Files\contentprotector\nss\plds4.dll','32');
     DeleteFile('C:\Program Files\contentprotector\nss\smime3.dll','32');
     DeleteFile('C:\Program Files\contentprotector\nss\softokn3.dll','32');
     DeleteFile('C:\Program Files\contentprotector\ssleay32.dll','32');
     DeleteFile('C:\Users\Julia\AppData\Local\Ovics\tmp197B.exe','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    11.11.2016
    Сообщений
    8
    Вес репутации
    32

    Логи

    Новые логи:
    Вложения Вложения

  7. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3108
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    11.11.2016
    Сообщений
    8
    Вес репутации
    32

    Отчет

    Отчет Farbar Recovery Scan Tool
    Вложения Вложения

  10. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3108
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
    HKU\S-1-5-21-2061428950-705147603-2581851065-1000\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-2061428950-705147603-2581851065-1000\...\RunOnce: [Adobe Speed Launcher] => 1479097300
    Startup: C:\Users\Julia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a63058.lnk [2016-11-11]
    ShortcutTarget: a63058.lnk -> C:\Windows\System32\mshta.exe (Microsoft Corporation)
    Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bdfb9f.lnk [2016-11-11]
    ShortcutTarget: bdfb9f.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation)
    FF HKU\S-1-5-21-2061428950-705147603-2581851065-1000\...\Firefox\Extensions: [[email protected]] - C:\Users\Julia\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
    FF Extension: (Ace Stream Web Extension) - C:\Users\Julia\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2015-12-18]
    FF Plugin HKU\S-1-5-21-2061428950-705147603-2581851065-1000: @acestream.net/acestreamplugin,version=3.1.7 -> C:\Users\Julia\AppData\Roaming\ACEStream\player\npace_plugin.dll [2015-08-06] (Innovative Digital Technologies)
    CHR Extension: (Ace Stream Web Extension) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2016-08-14]
    CHR Extension: (Chrome Media Router) - C:\Users\Julia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-26]
    CHR HKU\S-1-5-21-2061428950-705147603-2581851065-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    2016-11-11 17:27 - 2016-11-12 17:35 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\52f8af
    2016-11-11 17:27 - 2016-11-11 17:27 - 00000000 ____D C:\Users\Администратор\AppData\Local\d17a2c
    C:\Users\Julia\AppData\Local\Temp\amigo_setup.exe
    C:\Users\Администратор\AppData\Local\Temp\amigo_setup.exe
    Reboot:
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    11.11.2016
    Сообщений
    8
    Вес репутации
    32

    Fixlog

    Fixlog
    Вложения Вложения

  13. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3108
    Зашифровано новой версией PClock. C расшифровкой не сможем помочь никаким способом.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. Это понравилось:


  15. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    982

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files\contentprotector\condefclean.exe - not-a-virus:NetTool.Win64.NetFilter.jd
      2. c:\program files\contentprotector\conprotsetup.exe - not-a-virus:HEUR:AdWare.Win32.Mewishid.gen
      3. c:\program files\contentprotector\contentprotectorconrol.exe - not-a-virus:NetTool.Win64.NetFilter.jd
      4. c:\program files\contentprotector\contentprotectordrv.sys - not-a-virus:NetTool.Win64.NetFilter.lf
      5. c:\program files\contentprotector\contentprotector.exe - not-a-virus:NetTool.Win64.NetFilter.jd
      6. c:\program files\contentprotector\contentprotectorupdate.exe - not-a-virus:NetTool.Win64.NetFilter.jd
      7. c:\program files\contentprotector\import_root_cert.exe - not-a-virus:NetTool.Win64.NetFilter.jd
      8. c:\program files\contentprotector\nss\certutil.exe - not-a-virus:NetTool.Win64.NetFilter.jd
      9. c:\users\julia\appdata\local\iqqsoft\qccdytlr.dll - Trojan.Win32.Agent.nextbb ( BitDefender: Gen:Variant.Miuref.3 )
      10. c:\users\julia\appdata\local\microsoft\protect\pro tecthost.dll - HEUR:Trojan.Win32.Generic
      11. c:\users\julia\appdata\local\ovics\tmp197b.exe - HEUR:Trojan.Win32.Generic
      12. c:\users\julia\appdata\local\ovics\vnljakml.dll - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Miuref.3 )


  • Уважаемый(ая) JulioKirio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 23.04.2016, 07:32
    2. email-cryptolocker зашифровал файлы word
      От revizor06 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.10.2015, 22:20
    3. Споймала Cryptolocker, зашифровал файлы
      От Фуфа в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 14.01.2015, 15:55
    4. Вирус зашифровал файлы [email protected] bublik
      От borisik в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 27.06.2014, 15:39
    5. cryptolocker 2.0 зашифровал файлы
      От renatr в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 20.02.2014, 18:03

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00368 seconds with 17 queries