Зашифрованы файлы

Printable View

02.02.2015, 10:03
beesin

Вложений: 3

Зашифрованы файлы

Добрый день.
Шифровальщик зашифровал файлы на ПК. Файлы стали вида: [email][email protected][/email]_9DtbO

Была проведена полная проверка Авастом (лицензия), DrWeb CureIT (в безопасном режиме).
Сделаны анализы системы по инструкции. Файлы прилагаю.

Образцы зашифрованных файлов:
[URL="http://rghost.ru/download/6M5TMq4kz/835a58ed7674ca08573591ca516315bf9bb6a381/[email protected]_9DtbO"].jpg[/URL] [URL="http://rghost.ru/download/6qHtrtNM9/c90b4e218cf313264f35d04b5789ceb9b8956ab8/%D0%9D%D0%9E%D0%92%D0%AB%D0%95%20%D0%BF%D0%BE%D0%B7%D0%B8%D1%86%D0%B8%D0%B8%20%D0%9E%D0%9C%D0%91%D0%A0%D0%90%20%D0%B0%D0%BF%D1%80%D0%B5%D0%BB%D1%8C%[email protected]_9DtbO"].xls[/URL]

Заранее благодарен за помощь!
02.02.2015, 10:04
Info_bot

Уважаемый(ая) [B]beesin[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
02.02.2015, 18:35
mike 1

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
O4 - S-1-5-18 Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html (User 'SYSTEM')
O4 - .DEFAULT Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html (User 'Default user')
O4 - .DEFAULT User Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html (User 'Default user')
O4 - Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
O4 - Global Startup: КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html

[/CODE]

Сделайте новый лог HiJackThis.
02.02.2015, 18:47
thyrex

+ Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
03.02.2015, 03:34
beesin

Вложений: 2

Все сделал. Логи HiJackThis и MBAM прикладываю.
03.02.2015, 18:01
thyrex

Содержимое папки C:\Documents and Settings\manager\Application Data\02022015 заархивируйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

После этого папку удалите
04.02.2015, 01:58
beesin

Вложений: 1

Что делать с результатами сканирования MBAM? Я его так и не закрывал - он просит предпринять какие-либо действия.
[ATTACH=CONFIG]532022[/ATTACH]

Результат загрузки

Файл сохранён как 150204_025802_02022015_54d1527a77caf.zip
Размер файла 309280
MD5 3831183cfcdb753f20cd37f373ec7643
Файл закачан, спасибо!
04.02.2015, 13:51
mike 1

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Quarantine[/b]" ("[B]Карантин[/B]" - [B][COLOR="Blue"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Registry Values: 1
PUM.LowRiskFileTypes, HKU\S-1-5-21-2261502044-3842504004-2394436941-3162-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .js;.zip;.rar;.nfo;.txt;.exe;.bat;.com;.reg;.msi;.hta;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.ade;.adp;.bas;.chm;.cmd;.cpl;.crt;.dll;.hlp;.inf;.ins;.isp;.jse;.lnk;.mdb;.mde;.msc;.msp;.mst;.pcd;.pif;.scr;.sct;.shs;.url;.vb;.vbe;.vbs;.wsc;.wsf;.wsh, , [9db48374a5e4eb4b1ff10392f1128c74]

Folders: 1
Rogue.Multiple, C:\Documents and Settings\manager\Application Data\02022015, , [90c1e51296f3e650f797e65336cdd828],

Files: 6
Spyware.Password, c:\documents and settings\manager\application data\02022015\windows.exe, , [4f028f68c2c7a5912558e5bed72e22de],
Spyware.Password, c:\system volume information\_restore{4bb961d3-3f1b-4252-bc86-1ee988b68189}\rp37\a0009806.exe, , [bd946d8a7f0a4beb007d356e91747987],
Rogue.Multiple, C:\Documents and Settings\manager\Application Data\02022015\files.list, , [90c1e51296f3e650f797e65336cdd828],
Rogue.Multiple, C:\Documents and Settings\manager\Application Data\02022015\msg.html, , [90c1e51296f3e650f797e65336cdd828],
Rogue.Multiple, C:\Documents and Settings\manager\Application Data\02022015\??????_?*???????˜?¤?*?????????¬_?¤???????«.html, , [90c1e51296f3e650f797e65336cdd828],
[/CODE]

[COLOR="Red"][B]Обратите внимание[/B][/COLOR]! Для остальных объектов выберете действие "[B]Ignore[/B]" ("[B]Игнорировать[/B]").
04.02.2015, 14:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]