-
Вложений: 3
Здравствуйте, уважаемые хэлперы. Помогите, пожалуйста, со следующей проблемой.
На электронную почту пришло письмо якобы из Высшего арбитражного суда РФ, при попытке перейти по ссылке загрузился вирус. В это время работал ESET Smart security 7. При первом запуске [COLOR=#333333]Windows [/COLOR]после заражения угрозы мошенников отобразились в блокноте и редакторе изображений. При втором запуске отобразились угрозы как фоновый рисунок рабочего стола. Угрозы следующего содержания:[COLOR=#333333][COLOR=#333333] Твои файлы зашифрованы, по всем вопросам на почту [/COLOR][/COLOR][COLOR=#333333][email protected]. Ваш ID 324 сообщи мне его на почту.[/COLOR]
[COLOR=#333333][COLOR=#333333]Все "офисные" файлы и изображения зашифрованы и к расширению добавлено [/COLOR][/COLOR][COLOR=#333333][email protected]_324[/COLOR][COLOR=#333333][COLOR=#333333].
Заранее спасибо![/COLOR][/COLOR]
-
Уважаемый(ая) [B]elena-pia-elka[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
-
Здравствуйте!
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - Startup: bmp.bmp
O4 - Startup: одуваньш.txt
[/CODE]
Установите [url="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet Explorer 8[/url] (даже если им не пользуетесь)
Скачайте [url="http://malwarebytes.org/mbam-download-exe-random.php"]Malwarebytes' Anti-Malware[/url] или с [URL="http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe"]зеркала[/URL], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
-
Вложений: 1
Указанные строчки профиксила.
Лог MBAM прикрепляю.
-
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] [b]только указанные ниже записи[/b] [code]Обнаруженные папки: 4
C:\Documents and Settings\1\Application Data\newnext.me (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\1\Application Data\newnext.me\cache (PUP.Optional.NextLive.A) -> Действие не было предпринято.
Обнаруженные файлы: 12
C:\Documents and Settings\1\Application Data\OpenCandy\66124BF9C66D4743848559338C49DCBF\Mobogenie_Setup_2.1.37_507.exe (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\1\Local Settings\Application Data\genienext\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\1\Local Settings\Application Data\Mobogenie\Version\OldVersion\Mobogenie\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\1\Local Settings\Temp\969.tmp\exe.1_ (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Program Files\Microsoft Office\activator.exe (PUP.Hacktool) -> Действие не было предпринято.
C:\Program Files\Mobogenie\nengine.dll (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\1\Application Data\newnext.me\nengine.cookie (PUP.Optional.NextLive.A) -> Действие не было предпринято.
C:\Documents and Settings\1\Application Data\newnext.me\cache\spark.bin (PUP.Optional.NextLive.A) -> Действие не было предпринято.[/code]
-
Удалила указанные записи. После перезагрузки ОС, сообщения с угрозами уже не появляются.Возможно ли расшифровать файлы? Спасибо за помощь.
-
[quote="elena-pia-elka;1097758"]Возможно ли расшифровать файлы?[/quote]Без оригинального дешифратора - никак
-
[QUOTE=thyrex;1097762]Без оригинального дешифратора - никак[/QUOTE]
Буду надеяться, что кто-то умный его напишет. Что, конечно же, вряд ли)))
Спасибо Вам большое за помощь!!!
-
Возможно поздней появится.
Page generated in 0.00722 seconds with 10 queries