Срочно нужна помощь, поймал вирус вымогатель , который блокировал файлы кодировкой AES 256.
Вот примеры файлов [url]https://yadi.sk/d/_Qa5RyW8bwAGE[/url]
[url]https://yadi.sk/d/_Qa5RyW8bwAGE[/url]
Срочно нужна помощь, поймал вирус вымогатель , который блокировал файлы кодировкой AES 256.
Вот примеры файлов [url]https://yadi.sk/d/_Qa5RyW8bwAGE[/url]
[url]https://yadi.sk/d/_Qa5RyW8bwAGE[/url]
Уважаемый(ая) [B]korochanec[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Усманов\appdata\roaming\mail.ru newgamest\api.dll','');
QuarantineFile('C:\Users\Усманов\AppData\Roaming\runWIN\update.exe','');
QuarantineFile('C:\Users\Усманов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','');
QuarantineFile('C:\Users\Усманов\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','');
QuarantineFile('C:\Program Files\AESCrypt\AESCrypt.dll','');
SetServiceStart('{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64', 4);
DeleteService('{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64');
QuarantineFile('C:\Program Files (x86)\Adanak\bin\utilAdanak.exe','');
QuarantineFile('C:\Program Files (x86)\Adanak\updateAdanak.exe','');
DeleteService('Util Adanak');
DeleteService('Update Adanak');
SetServiceStart('IePluginServices', 4);
DeleteService('IePluginServices');
QuarantineFile('C:\Windows\system32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys','');
QuarantineFile('c:\programdata\iepluginservices\pluginservice.exe','');
QuarantineFile('c:\program files (x86)\boxcryptor\boxcryptor.exe','');
DeleteFile('c:\programdata\iepluginservices\pluginservice.exe','32');
DeleteFile('C:\Windows\system32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys','32');
DeleteFile('C:\Program Files (x86)\Adanak\updateAdanak.exe','32');
DeleteFile('C:\Program Files (x86)\Adanak\bin\utilAdanak.exe','32');
DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.exe.bat','32');
DeleteFile('C:\Users\Усманов\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32');
DeleteFile('C:\Users\Усманов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32');
DeleteFile('C:\Users\Усманов\AppData\Roaming\runWIN\update.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewLoadSystemWIN32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NewRunWIN');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Encrypt');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Users\Усманов\appdata\roaming\mail.ru newgamest\api.dll','32');
DeleteFileMask('C:\Users\Усманов\AppData\Roaming\runWIN', '*', true);
DeleteDirectory('C:\Users\Усманов\AppData\Roaming\runWIN');
DeleteFileMask('C:\Users\Усманов\AppData\Roaming\Mail.RU NewGamesT', '*', true);
DeleteDirectory('C:\Users\Усманов\AppData\Roaming\Mail.RU NewGamesT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]такой лог[/url]
А где взять карантин?
Приложение 2 правил читайте
полного сканирования МВАМ Не могу сделать программа вылетает всё время
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Высылаю логи
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[b]thyrex[/b],
полного сканирования МВАМ Не могу сделать программа вылетает всё время
Пересоздайте ярлыки
[QUOTE]C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Все пользователи\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Усманов\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Усманов\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Усманов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Усманов\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk[/QUOTE]
Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1411986337&from=exp&uid=WDCXWD2500BEVT-75A23T0_WD-WX31AB0M3815M3815
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1411986337&from=exp&uid=WDCXWD2500BEVT-75A23T0_WD-WX31AB0M3815M3815
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1411986337&from=exp&uid=WDCXWD2500BEVT-75A23T0_WD-WX31AB0M3815M3815&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1411986337&from=exp&uid=WDCXWD2500BEVT-75A23T0_WD-WX31AB0M3815M3815&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1411986337&from=exp&uid=WDCXWD2500BEVT-75A23T0_WD-WX31AB0M3815M3815[/CODE]
Удалите папки
[QUOTE]C:\Users\Усманов\AppData\Roaming\Microsoft DB
C:\Users\Усманов\AppData\Roaming\GemWare
C:\Users\Усманов\AppData\Roaming\Browsers
C:\Users\Усманов\AppData\Roaming\ICL
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\IePluginServices
C:\Program Files (x86)\SupTab
C:\Users\Усманов\AppData\Roaming\337Games
C:\Users\Усманов\AppData\Roaming\webssearches
C:\Program Files (x86)\Adanak
C:\Users\Усманов\AppData\Roaming\GoforFiles
C:\Program Files (x86)\GoForFilesUpdate[/QUOTE]
[quote="korochanec;1171025"]полного сканирования МВАМ Не могу сделать программа вылетает всё время[/quote]Попробуйте версию [url]http://virusinfo.info/soft/mbam-setup-1.75.0.1300.exe[/url]
Всё сделал, как Вы сказали
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[b]thyrex[/b], Буду пытаться сделать полное сканирование МВАМ
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Отправляю лог MBAM
[b]thyrex[/b], Ну что вы мне поможите?
[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]:\Program Files (x86)\Connectify\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\Public\Desktop\АКТИВ\KMSAUTO NET V1.0.8 PORTABLE RU\BIN\PDK.DLL (PUP.PSWTool.ProductKey) -> Действие не было предпринято.
C:\Users\Public\Desktop\АКТИВ\Активатор\CW.EXE (Hacktool.ChewWGA) -> Действие не было предпринято.[/code]
Пробуйте [url]http://support.kaspersky.ru/viruses/disinfection/10556[/url]
Программа не помогла, что делать?
Увы, больше помочь нечем
[url]http://support.kaspersky.ru/viruses/disinfection/10556[/url] пробуйте еще раз
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\усманов\appdata\roaming\mail.ru newgamest\api.dll - [B]Trojan-Ransom.MSIL.Lortok.p[/B] ( BitDefender: Trojan.Generic.11932863, AVAST4: Win32:Malware-gen )[*] c:\users\усманов\appdata\roaming\runwin\update.exe - [B]not-a-virus:RiskTool.MSIL.Agent.bq[/B][/LIST][/LIST]