Вирус переименовал файлы [email protected] (5)

Printable View

16.12.2014, 21:13
Blazerize

Вложений: 3

Вирус переименовал файлы [email protected] (5)

Вирус переименовал файлы [email][email protected][/email]
Данное "вредительство" произошло только в одной папке, к котрой имеет доступ пользователь данного компьютера. На компьютере, на котором открыт доступ, вирусов и заражений нет . Все файлы с расширением xls, doc изменили на название с припиской в конце "[email protected]".
16.12.2014, 21:14
Info_bot

Уважаемый(ая) [B]Blazerize[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.12.2014, 22:53
mike 1

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
SetServiceStart('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64', 4);
StopService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys','');
DeleteFile('C:\Windows\system32\drivers\{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64.sys','32');
DeleteService('{57f143ae-1ecd-493d-9ddb-32c45a3cecd5}Gw64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

[/CODE]

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://www.dropbox.com/s/fv5udu0pse3a82g/FRST_canned.png?dl=1[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]https://www.dropbox.com/s/bw0sjh213n7646i/FRST.png?dl=1[/img]
17.12.2014, 09:02
Blazerize

Вложений: 2

Запрошенные файлы
17.12.2014, 13:01
mike 1

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита:
[code]
HKLM-x32\...\Run: [] => [X]
URLSearchHook: HKLM-x32 - (No Name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - No File
SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
SearchScopes: HKU\S-1-5-21-2695594662-2721351487-3047850463-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2127165
BHO-x32: Conduit Engine -> {30F9B915-B755-4826-820B-08FBA6BD249D} -> C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 134.255.241.122,8.8.8.8
S1 qknfd; system32\drivers\qknfd.sys [X]
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).

Сделайте новые логи Farbar Recovery Scan Tool
17.12.2014, 15:12
Blazerize

Вложений: 1

Файл в заголовке
17.12.2014, 15:31
mike 1

[QUOTE=mike 1;1200940]
Сделайте новые логи Farbar Recovery Scan Tool[/QUOTE]
???
17.12.2014, 15:43
Blazerize

Вложений: 3

Файлы
17.12.2014, 16:00
mike 1

Логи в порядке. Антивирус обновите до 15 версии.
17.12.2014, 17:12
Blazerize

ииии?
после обновления он дешифрует файлы?
17.12.2014, 20:14
mike 1

[QUOTE]после обновления он дешифрует файлы?[/QUOTE]
Нет конечно. Следов шифратора на этом компьютере я не увидел по логам. В 15 версии реализована защита от неизвестных шифраторов.
18.12.2014, 05:50
Blazerize

Грустно:(
15 версию касперскоо Вы имеете в виду?
вероятность дешифровки есть?
18.12.2014, 11:22
mike 1

[QUOTE]15 версию касперскоо Вы имеете в виду?[/QUOTE]
Да.

[QUOTE]вероятность дешифровки есть?[/QUOTE]
Есть, но пока небольшая. Версия у вас новая.
19.12.2014, 18:34
Blazerize

Спасибо!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

что мне сделать что-б вероятость увеличилась?:)
19.12.2014, 21:55
mike 1

[QUOTE]что мне сделать что-б вероятость увеличилась?[/QUOTE]
Ждать пока сделают расшифровку.
20.12.2014, 07:33
Blazerize

Спасибо!