Пришло письмо на почту с "Арбитражного суда" со ссылкой на .rar файл. Открыл письмо с прикрепленным файлом, после запуска все файлы зашифровались.
Вложение из письма сохранилось.
Printable View
Пришло письмо на почту с "Арбитражного суда" со ссылкой на .rar файл. Открыл письмо с прикрепленным файлом, после запуска все файлы зашифровались.
Вложение из письма сохранилось.
Уважаемый(ая) [B]koksi[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
TerminateProcessByName('c:\users\2013\appdata\local\e4dae3b99400910c4b2d18e715c39c1e\d298a539e8d3560.exe');
SetServiceStart('d298a539e8d3560.exe', 4);
StopService('d298a539e8d3560.exe');
QuarantineFile('C:\Users\2013\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судeбный приказ - судeбное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','');
QuarantineFile('C:\Users\2013\AppData\Local\e4dae3b99400910c4b2d18e715c39c1e\RegFltrX64.sys','');
QuarantineFile('c:\users\2013\appdata\local\e4dae3b99400910c4b2d18e715c39c1e\d298a539e8d3560.exe','');
DeleteFile('C:\Users\2013\AppData\Local\e4dae3b99400910c4b2d18e715c39c1e\d298a539e8d3560.exe','32');
DeleteFile('C:\Users\2013\AppData\Local\e4dae3b99400910c4b2d18e715c39c1e\RegFltrX64.sys','32');
DeleteFile('C:\Users\2013\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pic.bmp','32');
DeleteFile('C:\Users\2013\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судeбный приказ - судeбное постановление, вынесенное судьей единолично на основании заявления о взыскании денежных сумм или.exe','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
DeleteService('RegFltrX64');
DeleteService('d298a539e8d3560.exe');
DeleteFileMask('c:\users\2013\appdata\local\e4dae3b99400910c4b2d18e715c39c1e', '*', true, ' ');
DeleteDirectory('c:\users\2013\appdata\local\e4dae3b99400910c4b2d18e715c39c1e');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:19610
O4 - Startup: pic.bmp
O4 - Startup: ufr_reports
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[LIST=1][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]CheckBrowserLnk[/url] и сохраните архив с утилитой на [b]Рабочем столе[/b][*]Распакуйте архив с утилитой в отдельную папку[*]Запустите [b]checkbrowserlnk.exe[/b][INDENT][SIZE="1"][B]Обратите внимание[/B], что утилиты необходимо запускать от имени Администратора. По умолчанию в [b]Windows XP[/b] так и есть. В [b]Windows Vista[/b] и [b]Windows 7[/b] администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать [b]Запуск от имени Администратора[/b], при необходимости укажите пароль администратора и нажмите [b]Да[/b][/SIZE][/INDENT][*]После окончания работы программы на рабочем столе будет сохранен отчет [b]CheckBrowserLnk.log[/b][*]Прикрепите этот отчет в вашей теме.[/LIST]
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы, выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
1.[TABLE]
[TR]
[TD]Файл сохранён как[/TD]
[TD]140616_173536_virus_539f2ae8eedd1.zip[/TD]
[/TR]
[TR]
[TD]Размер файла[/TD]
[TD]42899[/TD]
[/TR]
[TR]
[TD]MD5[/TD]
[TD]e138d094ad7e9923bff2c9588a6a9f37[/TD]
[/TR]
[/TABLE]
2. [URL="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"][COLOR=#33496b]Malwarebytes' Anti-Malware[/COLOR][/URL] ещё сканирует, отправлю попозже.
Лог файлы поменял в шапке темы.
Malwarebytes' Anti-Malware пока ещё сканирует.
Исправляйте ярлыки, удалив в них лишнее
[QUOTE]C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk
C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\2013\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.15 1748.lnk[/QUOTE]
Одну запись в логе HiJack не пофиксили
Ярлыки исправил
Как ни странно. Не смог найти запись и пофиксить её
"O4 - Startup: pic.bmp"
Зашифрованный файл небольшого размера ппришлите
[QUOTE=thyrex;1126569]Зашифрованный файл небольшого размера пришлите[/QUOTE]
Вот ловите!
[QUOTE=koksi;1126574]Вот ловите![/QUOTE]
Пока нет нужного ключа. Ждем лог MBAM.
[QUOTE=mike 1;1126589]Пока нет нужного ключа. Ждем лог MBAM.[/QUOTE]
Готово
Деинсталлируйте новую версию MBAM и сделайте лог MBAM 1.75 я вам на нее специально ссылку давал.
[QUOTE=mike 1;1126717]Деинсталлируйте новую версию MBAM и сделайте лог MBAM 1.75 я вам на нее специально ссылку давал.[/QUOTE]
Прошу прощения. Исправил
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
[ATTACH=CONFIG]479356[/ATTACH]
Касперский только что обнаружил...
Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).
[CODE]
Обнаруженные файлы: 15
C:\$Recycle.Bin\S-1-5-21-851390367-3573656651-271741674-1000\$R68E7S0.exe (Malware.Packed) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-851390367-3573656651-271741674-1000\$RSIG5W7.exe (Malware.Packed) -> Действие не было предпринято.
C:\$Recycle.Bin\S-1-5-21-851390367-3573656651-271741674-1000\$RVEC48U.exe (Hacktool.KRT) -> Действие не было предпринято.
G:\temp\is2105605122\dp.exe (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Users\2013\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage (PUP.Optional.Superfish.A) -> Действие не было предпринято.
C:\Users\2013\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal (PUP.Optional.Superfish.A) -> Действие не было предпринято.
[/CODE]
Проверьте эти файлы на [url=http://www.virustotal.com/index.html]virustotal[/url]
[CODE]
G:\Server\programs\11111\Komp\Мои документы\Личные папки 2\Андриянова Е.Б\util\SMSMoveD500.exe
[/CODE]
кнопка [b]Выбрать файл[/b] (Choose File) - ищете нужный файл у вас в системе - [b]Открыть[/b] (Browse) - [b]Проверить[/b] (Scan it!). Нажать на кнопку [b]Повторить анализ[/b] (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
[QUOTE=mike 1;1126944]Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[B]Remove Selected[/B]" ("[B]Удалить выделенные[/B]" - [B][COLOR=Red]смотрите, что удаляете[/COLOR][/B]).
[/QUOTE]
Удалил.
[QUOTE=mike 1;1126944]
Проверьте эти файлы на [URL="http://www.virustotal.com/index.html"]virustotal[/URL]
[CODE]
G:\Server\programs\11111\Komp\Мои документы\Личные папки 2\Андриянова Е.Б\util\SMSMoveD500.exe
[/CODE]
[/QUOTE]
[URL]https://www.virustotal.com/ru/file/c4b3c391acfcc277f8f4c37a1a0fc4214344f170d42b577810535db21dfe42aa/analysis/1403070929/[/URL]
Я так понял, "дешифратора, на мою мою модификацию вируса". нет. Остается либо ждать, либо платить?
[QUOTE=koksi;1127032]
Я так понял, "дешифратора, на мою мою модификацию вируса". нет. Остается либо ждать, либо платить?[/QUOTE]
Верно.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]