открыла письмо с портала гос услуг. теперь все документы и фотографии переименованы. они хотят [COLOR=#333333]биткоин. попробовала вставить логи.[/COLOR]
Printable View
открыла письмо с портала гос услуг. теперь все документы и фотографии переименованы. они хотят [COLOR=#333333]биткоин. попробовала вставить логи.[/COLOR]
Уважаемый(ая) [B]annainsait[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\admin.admin-ПК\AppData\Local\Schedule\Schedule.exe','');
QuarantineFile('C:\Users\ADMIN~1.ADM\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\ADMIN~1.ADM\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\admin.admin-ПК\AppData\Local\27210\a14819.exe','');
DelBHO('{0A44F337-EFC8-44BC-891F-4A2FA57995D9}');
QuarantineFile('C:\Program Files\Speed Test (4350)\ScriptHost.dll','');
QuarantineFile('C:\Users\admin.admin-ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №41941.exe','');
DeleteFile('C:\Users\admin.admin-ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация о привлечении в качестве свидетеля по гражданскому делу №41941.exe','32');
DeleteFile('C:\Users\admin.admin-ПК\AppData\Roaming\newnext.me\nengine.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NextLive');
DeleteFile('C:\Program Files\Speed Test (4350)\ScriptHost.dll','32');
DeleteFile('C:\Users\admin.admin-ПК\AppData\Local\27210\a14819.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
DeleteFile('C:\Windows\Tasks\MetaCrawler.job','32');
DeleteFile('C:\Users\ADMIN~1.ADM\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\ADMIN~1.ADM\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','32');
DeleteFile('C:\Users\admin.admin-ПК\AppData\Local\Schedule\Schedule.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Daily Trigger ScheduleCD','32');
DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32');
DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','32');
DeleteFileMask('C:\Users\admin.admin-ПК\AppData\Local\Schedule', '*', true);
DeleteDirectory('C:\Users\admin.admin-ПК\AppData\Local\Schedule');
DeleteFileMask('C:\Users\ADMIN~1.ADM\AppData\Roaming\DIGITA~1', '*', true);
DeleteDirectory('C:\Users\ADMIN~1.ADM\AppData\Roaming\DIGITA~1');
DeleteFileMask('C:\Users\ADMIN~1.ADM\AppData\Roaming\METACR~1', '*', true);
DeleteDirectory('C:\Users\ADMIN~1.ADM\AppData\Roaming\METACR~1');
DeleteFileMask('C:\Users\admin.admin-ПК\AppData\Local\27210', '*', true);
DeleteDirectory('C:\Users\admin.admin-ПК\AppData\Local\27210');
DeleteFileMask('C:\Program Files\Speed Test (4350)', '*', true);
DeleteDirectory('C:\Program Files\Speed Test (4350)');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
лог МВАМ
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
так же avz
Поместите в карантин МВАМ всё найденное
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
логи [URL="http://virusinfo.info/showthread.php?t=115256"]RSIT[/URL]
я сделала, все что просили. хотелось бы какого-то комментария и дешифратора
Удалите папки
[QUOTE]C:\Users\admin.admin-ПК\AppData\Roaming\smwdgt
C:\Program Files\Mobogenie
C:\Program Files\BonanzaDeals
C:\Users\admin.admin-ПК\AppData\Roaming\newnext.me[/QUOTE]С расшифровкой не поможем
спасибо за помощь.
а что был за вирус?
и кто-нибудь, кроме "придумальщиков" может расшифровать?
они мне дешифратор прислали, но естественно без пароля.
[quote="annainsait;1174889"]а что был за вирус?[/quote]Название написано в заголовке темы
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\admin.admin-пк\appdata\roaming\microsoft\windows\start menu\programs\startup\архивная документация о привлечении в качестве свидетеля по гражданскому делу №41941.exe - [B]Trojan-Ransom.Win32.Aura.x[/B] ( BitDefender: Trojan.Generic.11979605 )[/LIST][/LIST]