Здравствуйте,
Собственно говоря, обнаружил свои файлы зашифрованными шифровальшиком - backspace@riseup с требованием денег.
Необходимые логи прилагаю.
Жду Ваших комментариев.
Printable View
Здравствуйте,
Собственно говоря, обнаружил свои файлы зашифрованными шифровальшиком - backspace@riseup с требованием денег.
Необходимые логи прилагаю.
Жду Ваших комментариев.
Уважаемый(ая) [B]Vetal_S[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Vetal\AppData\Local\Temp\avqnm.exe','');
QuarantineFile('C:\Users\Vetal\AppData\Local\Microsoft\Windows\winupdate.exe','');
QuarantineFile('C:\Users\Vetal\AppData\Local\Google\Update\gupdate.exe','');
TerminateProcessByName('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe');
QuarantineFile('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe','');
DeleteFile('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe','32');
DeleteFile('C:\Users\Vetal\AppData\Local\Google\Update\gupdate.exe','32');
DeleteFile('C:\Users\Vetal\AppData\Local\Microsoft\Windows\winupdate.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
DeleteFile('C:\Users\Vetal\AppData\Local\Temp\avqnm.exe','32');
DeleteFile('C:\Windows\Tasks\0wfw0.job','32');
DeleteFile('C:\Windows\system32\Tasks\0wfw0','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Добрый день,
Запустил скрипт, поспешил делать логи, не выслав карантин. После создания всех логов запустил скрипт ещё раз для создания крантина, который и загрузил к теме. Не знаю на сколько это важно, но порядок немного нарушил.
Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Лог прилагаю.
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Registry Keys Detected: 5
HKCR\CLSID\{fe5b2d9d-91b0-b04b-ac20-14a260769687} (Adware.ColorSoft) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\6-Ob-Qig73_ (Adware.Adrotator) -> No action taken.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{416c2185-c94b-bb75-55af-9faafeb3647e} (Adware.Adrotator) -> No action taken.
HKCR\CLSID\{416c2185-c94b-bb75-55af-9faafeb3647e} (Adware.Adrotator) -> No action taken.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{416C2185-C94B-BB75-55AF-9FAAFEB3647E} (Adware.Adrotator) -> No action taken.
Registry Values Detected: 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Data: https://erterra.com/images/imglist.ebg -> No action taken.
Files Detected: 21
C:\Downloads\Programs\Kracnodap.exe (PUP.SmsPay) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\00+L6nwt.exe.part (PUP.Optional.4Shared) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\234.exe (Trojan.Agent.EDNS) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\f5Xbl83S.exe.part (PUP.Optional.4Shared) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\312.exe (Trojan.CryptoLocker) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\325.exe (Trojan.Agent.EDTT) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\setupv.exe (Adware.Bundle) -> No action taken.
C:\Windows\System32\C-vDDsn-U7B8_.dll (Adware.Adrotator) -> No action taken.[/code]
Файлов:
C:\Users\Vetal\AppData\Local\Temp\312.exe (Trojan.CryptoLocker) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\325.exe (Trojan.Agent.EDTT) -> No action taken.
при повторном сканировании в списке для удаления не оказалось, все остальные удалил, как написали.
Затем, выполнил полную проверку снова, лог прилагаю.
Порядок
Дешифратором пока никто не поделился
Жёстко. Не ожидал такой развязки. Интересно, ни одних "шифровальщиков" ещё не поймали за одно место?
Я знаю, у Вас много работы, но можно уточнить, чтобы я понимал, чего мы добились на моём компьютере, путём выполненных в этой теме манипуляций? Это было как-то свяано с шифровальшиком?
Да, при перезагрузке у меня автоматически загружается Фотошом, где открывается эта идиотская картинка с требованием денег, с эти можно что-нибудь сделать?
[quote="Vetal_S;1069757"]чего мы добились на моём компьютере, путём выполненных манипуляций, проделанных в этой теме? Это было как-то свяано с шифровальшиком?[/quote]Убили спутников шифровальщика
[quote="Vetal_S;1069757"]открывается эта идиотская картинка с требованием денег[/quote]Пофиксите в HiJack
[CODE]O4 - Startup: pic.bmp[/CODE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]