Подцепила Support@casinomtgox [Backdoor.Win32.Mustela.aq, Backdoor.Win32.Androm.enui ]

Добрый день! Набрела на вирусню Support@casinomtgox. Переименовал все картинки.
Файлы логов в приложении. Надеюсь, сможете помочь.

[ATTACH]483436[/ATTACH][ATTACH]483435[/ATTACH][ATTACH]483434[/ATTACH]

Уважаемый(ая) [B]Виктория Доронина[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Vika\appdata\roaming\closer.exe','');
QuarantineFile('C:\Users\Vika\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\updater.exe','');
QuarantineFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\checkupdate.exe','');
QuarantineFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0029c3bc.exe','');
QuarantineFile('c:\windows\system32\rpcss.dll','');
QuarantineFile('C:\PROGRA~2\mstdam.exe','');
DeleteFile('C:\PROGRA~2\mstdam.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','339519976');
DeleteFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0029c3bc.exe','32');
DeleteFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\checkupdate.exe','32');
DeleteFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\updater.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','updatesvc');
DeleteFile('C:\Users\Vika\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\DealPly','32');
DeleteFile('C:\Users\Vika\appdata\roaming\closer.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

c:\windows\system32\rpcss.dll замените чистым с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url] или скопируйте с аналогичной системы

Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?iq
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)[/CODE]

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]23[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\progra~2\mstdam.exe - [B]Backdoor.Win32.Androm.enui[/B] ( BitDefender: Gen:Variant.Graftor.146624, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\vika\appdata\roaming\microsoft\windows\start menu\programs\startup\checkupdate.exe - [B]Backdoor.Win32.Mustela.aq[/B][*] c:\users\vika\appdata\roaming\microsoft\windows\updater.exe - [B]Backdoor.Win32.Mustela.aq[/B][/LIST][/LIST]

Предыдущюю тему ([URL]http://virusinfo.info/showthread.php?t=162779&highlight=[/URL]) закрыли за сроком давности. Слетела система, не могла выйти на связь. Все фото остались на диске D.
Прилагаю новые логи.

Прикрепите зашифрованную картинку в архиве.

[ATTACH]488002[/ATTACH]

Вложение из письма сохранилось?

Не очень поняла вопрос. Сейчас все фотографии и картинки сохраняются нормально.

[b]Xenta[/b], имелось ввиду файл (ссылка) после запуска которого всё зашифровалось сохранилось? Обычно вирус присылается с письмом по почте.

Скорее всего не сохранилось:(. В почте никаких таких писем замечено не было. Сейчас уже система новая стоит.
Заражении произошло 6-7 июля и я уверенна не через почту, винда ругалась на непонятный запущенный процесс. Основные ресурсы что я посещала - туризм и бронирование билетов.

Загрузите на файлообменник в архиве 50 зашифрованных картинок. Полученную ссылку прикрепите здесь.

Такой файлообменник подойдет?[URL="https://cloud.mail.ru/public/e213e7130978/%D0%A0%D0%B8%D0%B3%D0%B0.rar"]https://cloud.mail.ru/public/e213e7130978/%D0%A0%D0%B8%D0%B3%D0%B0.rar[/URL]

Расшифровалось только 9 фотографий от общего количества. Посмотрите все таки почту может приходило какой нибудь письмо от судебных приставов?

Ох, к сожалению нет. Я подозрительные письма сразу удаляю без прочтения.

К сожалению без вложения из письма нельзя сделать полноценную расшифровку файлов.

Понятно, но я могла получить вирус не из письма на почте, а закачав что-либо по ссылке?
Как восстановить хотя бы 18 % ?

[QUOTE]Понятно, но я могла получить вирус не из письма на почте, а закачав что-либо по ссылке?[/QUOTE]
Данный шифратор распространяется через электронную почту.

[QUOTE]Как восстановить хотя бы 18 % ?[/QUOTE]
Оптимальные параметры запуска декриптора для вашего случая лучше узнать в техподдержке Drweb я же могу ошибиться и выдать не совсем подходящие параметры.

В любом случае, большое вам спасибо!