Printable View
Здравствуйте! Вирус-вымогатель, в лице команды пиратов-рифмоплётов на быстроходных кораблях, атаковали мой файловоз и зашифровал файлы, присвоив им дополнительное расширение [email][email protected][/email]_FG178. Очень надеюсь на вашу помощь в расшифровке. Заранее благодарен.
[url]http://rusfolder.com/41782563[/url]
[url]http://rusfolder.com/41782564[/url]
Уважаемый(ая) [B]sasha_sn[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Логи сканирования утилитами АВЗ и HiJackThis:
Рекомендацию по расшифровке получите, когда убьем другие вирусы на Вашем компьютере
eDealsPop удалите через Установку программ
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Александр\applic~1\digita~1\update~1\update~1.exe','');
QuarantineFile('C:\Program Files (x86)\windealist\Internet Explorer\swu.vbs','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\~tmp1319837056077543407.tmp','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\~tmp4402922103716793701.tmp','');
QuarantineFile('C:\Users\8523~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\8523~1\AppData\Local\Temp\~tmp8181610119303848116.tmp','');
QuarantineFile('C:\Program Files (x86)\windealist\Internet Explorer\windealist.dll','');
QuarantineFile('C:\Program Files (x86)\eDealsPop\eDealsPop.exe','');
QuarantineFile('C:\Users\Александр\AppData\Local\568c5a2d9ce3e38fd281875accab872d\RegFltrX64.sys','');
DeleteService('RegFltrX64');
QuarantineFile('C:\Users\Александр\AppData\Local\DriverWigetWord\DriverWigetWord.exe','');
DeleteService('DriverWigetWord.exe');
QuarantineFile('C:\Users\Александр\AppData\Local\8aedac9e9a41ee6a678fe227ca62636d\a16d58471c98d85.exe','');
DeleteService('a16d58471c98d85.exe');
QuarantineFile('C:\Users\Александр\AppData\Local\568c5a2d9ce3e38fd281875accab872d\BackupIndexTrash.exe','');
SetServiceStart('RecycleSnapshotTask.exe', 4);
DeleteService('RecycleSnapshotTask.exe');
QuarantineFile('C:\Program Files (x86)\WinRST\WinRST.exe','');
SetServiceStart('PirritUpdater', 4);
DeleteService('PirritUpdater');
SetServiceStart('WinRST', 4);
DeleteService('WinRST');
TerminateProcessByName('c:\program files (x86)\pirrit\autoupdater.exe');
QuarantineFile('c:\program files (x86)\pirrit\autoupdater.exe','');
DeleteFile('c:\program files (x86)\pirrit\autoupdater.exe','32');
DeleteFile('C:\Program Files (x86)\WinRST\WinRST.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\568c5a2d9ce3e38fd281875accab872d\BackupIndexTrash.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\8aedac9e9a41ee6a678fe227ca62636d\a16d58471c98d85.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\DriverWigetWord\DriverWigetWord.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\568c5a2d9ce3e38fd281875accab872d\RegFltrX64.sys','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Program Files (x86)\eDealsPop\eDealsPop.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','eDealsPop');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\~tmp8181610119303848116.tmp','32');
DeleteFile('C:\Windows\Tasks\asrq0nl.job','64');
DeleteFile('C:\Users\8523~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
DeleteFile('C:\Windows\Tasks\hff1.job','64');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\~tmp4402922103716793701.tmp','32');
DeleteFile('C:\Windows\Tasks\uynqmgd0.job','64');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\~tmp1319837056077543407.tmp','32');
DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
DeleteFile('C:\Users\Александр\applic~1\digita~1\update~1\update~1.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxxi.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxxi.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:28667
O2 - BHO: IEExtension.Extension - {d40c654d-7c51-4eb3-95b2-1e23905c2a2d} - mscoree.dll (file missing)
O2 - BHO: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files (x86)\BonanzaDeals\BonanzaDealsIE.dll
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)
[/CODE]
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделал всё, как Вы сказали
Карантин выслал
Новые логи:
Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]Trojan.Agent, C:\??N????µ??N?N?\??N??·N????°?»N???N??µ\Alec Sol\#???°N??µN????°?»\VSTi\LennarDigitalSylenth1VSTiv220\Sylenth1\keygen.exe, , [8ff69f5084f7350147b645c7d52d6e92],
PUP.Optional.InstallCore.A, C:\Users\???»?µ??N??°????N?\Downloads\PDFReaderSetup.exe, , [345100eff18aef4718e7f04ad72ace32],
PUP.Optional.InstallCore.A, C:\Users\???»?µ??N??°????N?\Downloads\Setup.exe, , [256077782d4e67cf7aab0a2414ec9f61],
PUP.Optional.MusicToolbar.A, C:\Users\???»?µ??N??°????N?\Downloads\BearShareSetup-r1116-n-bc.exe, , [b3d235ba4635231311009b911ce503fd],
Trojan.Banload, C:\Users\???»?µ??N??°????N?\Downloads\tom_odell_-_another_love_(zaycev.net) (1).exe, , [f095e80767143cfa7ac4ae667889847c],
Trojan.Banload, C:\Users\???»?µ??N??°????N?\Downloads\tom_odell_-_another_love_(zaycev.net).exe, , [4540f0ff9ae1d165122c25ef8b76b749],
Trojan.Agent, D:\AusLogics.BoostSpeed\rwerwer\Alec Sol\#???°N??µN????°?»\VSTi\LennarDigitalSylenth1VSTiv220\Sylenth1\keygen.exe, , [ea9ba34c413a5cdaf409739943bfef11],
Trojan.Agent.NS, D:\????N?N?\APTunerInstall308.exe, , [4d38638c2259cc6a57fb6879c044b54b],
PUP.Optional.OpenCandy, D:\????N?N?\DTLite4461-0328.exe, , [d9acc42b5e1d4de91b760e1e9e67718f],
PUP.Optional.OpenCandy, D:\????N?N?\DTLite_4.45.1.exe, , [7015e10e76059c9a405171bbde27fe02],
Trojan.InstallMonster, D:\????N?N?\MM26_RU.exe, , [186d4fa0e09b2511191584a6808149b7],
Trojan.Agent.CK, D:\????N?N?\xf-a2010.exe, , [9fe6ea05ccafcd69c899f120828029d7],
Trojan.Crax, D:\????N?N?\Adobe_Dreamweaver_CS3 v9.0_RUS\keygen.exe, , [91f42dc28eedd660c5ffaa684eb429d7],
PUP.Hacktool, D:\????N?N?\Microsoft office 2010 small business basics RTM Volume 14.0.4763.1000 [Ru]\mini-kms_activator_v1.072_ru.exe, , [41445a9565166dc933b97c0df90760a0],
Riskware.Crk, D:\????N?N?\Microsoft office 2010 small business basics RTM Volume 14.0.4763.1000 [Ru]\Activation\mini-KMS_Activator_v1.054_ENG.exe, , [d8ad36b91764290df70effebcb3532ce],
Riskware.Crk, D:\????N?N?\Microsoft office 2010 small business basics RTM Volume 14.0.4763.1000 [Ru]\Activation\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe, , [1075846bf784de589f663eac40c02fd1],
PUP.Hacktool, D:\????N?N?\Microsoft office 2010 small business basics RTM Volume 14.0.4763.1000 [Ru]\mini-KMS Activator RU\mKMSAct.exe, , [b0d5945b4635cb6bab4199f012eee61a],
Malware.Gen, D:\????N?N?\Photoshop_CS5_Extended_12.0\Adobe_Photoshop_CS5_Key_Gen\Adobe.Photoshop.CS5.Extended.v12.0.Keymaker-EMBRACE.exe, , [20656b841c5f6cca7ea9372faa56619f],
PUP.Riskware.Patcher, D:\????N?N?\???????«????\Image.Line.FL.Studio.Producer.Edition.v11\Image.Line.FL.Studio.Producer.Edition.v11\Patch\patch.exe, , [1273519e5f1ca492a34ac4587e8311ef],
Trojan.Downloader, D:\????N?N?\???????«????\SOUND FORGE 8\Sound Forge 8 Retail.exe, , [1a6b658a3d3e74c2a011c83103017d83],[/CODE]
Выполнил
Так ничего не сделали :)
Запустите повторное сканирование МВАМ, после его окончания выберите действие Карантин для всех записей, кроме указанных выше
Странно...:O Ведь точно помню, как карантинил всё, кроме них. Может, приснилось, конечно
Ок, поставил на повтор. Как сканирование завершится, напишу... часов через 5 :):(
Всё, готово. Сейчас должно быть правильно
[INFORMATION][color="#FF0000"][b]Внимание![/b][/color]
[color="#0000FF"]Данная рекомендация по расшифровке предназначена только для пользователя [b]sasha_sn[/b]
Во избежание [u]окончательной потери информации[/u] использовать ее другим пострадавшим от данной разновидности шифровальщика без нашей предварительной проверки [/color][color="#FF0000"][b]не рекомендуется[/b][/color]
Скачайте [URL="http://download.geo.drweb.com/pub/drweb/tools/te102decrypt.exe"]te102decrypt.exe[/URL] и сохраните [B][color="#0000CD"]в корень диска С[/color][/B].
В командной строке введите:
[code]C:\te102decrypt.exe -k 188[/code]
[B][COLOR="#FF0000"]Внимание!!![/COLOR][/B]
1. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
2. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались[/information]
Спасибо! Очень Вам благодарен за помощь! Всё расшифровалось
Скажите, удалять ли MBAM и что делать с той "двадцаткой" которую вы сказали не помещать на карантин, оставить как есть?
МВАМ можно удалить.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]