На компьютере зашифровано большинство файлов. В том числе и базы 1С.
[URL]https://yadi.sk/d/xbBEEe7qVj8Vb[/URL] - архив с образцами жертв.
[url]https://yadi.sk/d/F7TnACIbVjKBL[/url] - тут результаты сканирования avz и hijackthis
Printable View
На компьютере зашифровано большинство файлов. В том числе и базы 1С.
[URL]https://yadi.sk/d/xbBEEe7qVj8Vb[/URL] - архив с образцами жертв.
[url]https://yadi.sk/d/F7TnACIbVjKBL[/url] - тут результаты сканирования avz и hijackthis
Уважаемый(ая) [B]Ge_from_Dou[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Documents and Settings\КРОНОС\Application Data\ssudx.exe','');
DeleteFile('C:\Documents and Settings\КРОНОС\Application Data\ssudx.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O2 - BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll
O3 - Toolbar: StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
O4 - Global Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]
Запрошенный результат работы скриптов AVZ
Файл сохранён как 140702_135704_quarantine_53b40fb0148a2.zip
Размер файла 636
MD5 37a3e93c204a81d488960b1561b0ef7a
[url]https://yadi.sk/d/nmPnS2G_VmGNt[/url] -запрошенные логи (virusinfo_syscheck.zip;hijackthis.log;MBAM-log-2014-07-02 (17-44-59).txt)
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
[/CODE]
Базы MBAM обновите. При обновлении на предложение обновить версию MBAM нажмите на кнопку "Отмена". После обновления баз сделайте новый лог MBAM. Инструкцию по расшифровке файлов получите в конце лечения.
М-да... Лечил не ту винду, оказывается. Извиняюсь, но меня самого ввели в заблуждение. Теперь по пунктам:
1) Повторно создал результаты сканирования avz и HiJackThis
2) В том же архиве результаты повторного сканирования MBAM старой винды (обновленной через оффлайн, MBAM-log-2014-07-03 (21-51-20).txt)
3) Утром выложу результаты сканирования MBAM новой винды.
[URL]https://yadi.sk/d/_TY2KKc_VsrU2[/URL]
Для другого компьютера создайте отдельную тему чтобы не было каши среди логов.
Компьютер тот же. Просто 2 HDD, и на каждом стоит винда. В первую очередь важно расшифровать файлы (базы данных), а восстановление работоспособности ОС вторично. При желании можно и переустановить (лицензионные наклейки этих окошек в наличии).
Судя по тому, что я успел увидеть - заражение прошло через ТимВьювер (слишком простой пароль стоял) и одна ось просто заразила вторую.
[NOTICE]Последующие отчеты загружайте на форум[/NOTICE]
И все таки логи сняты с другого компьютера.
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Temp\xtsEfvN324270pS.exe','');
DeleteFile('C:\WINDOWS\Temp\xtsEfvN324270pS.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Alcmeter');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(10);
RebootWindows(false);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL] следующие строчки в HiJackThis если они у вас есть.
[CODE]
O4 - S-1-5-18 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - .DEFAULT User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'Default user')
O4 - Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
O4 - Global Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt
[/CODE]
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
Базы в MBAM обновите. Потом сделайте лог MBAM.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]