Файлы зашифровались

Printable View

12.02.2015, 02:12
Vag2000

Вложений: 2

Файлы зашифровались

Здравствуйте. Пришло письмо на почту якобы от портала госуслуг - Судебная повестка по гражданскому делу, в тексте была ссылка на подробности по гражданскому делу, скачал файл, попытался открыть его и после этого все документы , фото и т. д. зашифровались и имеют окончание - id-8014711126_keybtc@foxmail2. Помогите пожалуйста,готов оплатить сервис Помогите+. Пробовал [url]http://www.kaspersky.ru/free-tools[/url] - Лечение зашифрованных файлов, не помогло.
12.02.2015, 02:13
Info_bot

Уважаемый(ая) [B]Vag2000[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
12.02.2015, 09:23
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('c:\program files (x86)\movies toolbar\safetynut\x64\safetycrt.dll','');
QuarantineFile('C:\Program Files (x86)\Movies Toolbar\SafetyNut\safetycrt.dll','');
DeleteFile('C:\Program Files (x86)\Movies Toolbar\SafetyNut\safetycrt.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86');
DeleteFile('C:\Users\VAGASUSNB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\strongcrypt.bmp','32');
DeleteFile('c:\program files (x86)\movies toolbar\safetynut\x64\safetycrt.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
12.02.2015, 18:28
Vag2000

Выполнил скрипт, но в папке карантин нет ни одного файла .
12.02.2015, 22:04
thyrex

Выполняйте все остальное
13.02.2015, 22:10
Vag2000

Вложений: 3

Все сделал
14.02.2015, 10:37
thyrex

Поместите в карантин МВАМ все, [B]кроме[/B]
[CODE]Процессы: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2776, , [078e85985d2d46f02886433610f08c74]

Файлы: 47
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [078e85985d2d46f02886433610f08c74],
Trojan.Agent.CK, D:\System Volume Information\_restore{54538AE8-1B96-4776-874E-BA0336F05910}\RP111\A0032863.exe, , [415443da246651e58338b5c101ffff01],
PUP.Hacktool.Patcher, D:\System Volume Information\_restore{54538AE8-1B96-4776-874E-BA0336F05910}\RP111\A0032902.exe, , [97fe51cc5337fe3827e845c18b7509f7],
RiskWare.Tool.CK, D:\??? ????? ???????«\Seven-boot V5. ??N??»N?N????·?°??N?N??·??N???N??? DVD&USB (x86)\Megaboot\UPD\UltraISO Premium Edition 9.32 Build 2656\N??°N?N???N??µ?????µ.exe, , [d1c4f627c4c6fa3ca9514298bc4534cc],
Malware.Packer, D:\??? ????? ???????«\The Bat! Professional\The_Bat_Pro_Ed_5.30\KeyGen.exe, , [8f0688952e5c270f32b981f157a98080],
Hacktool.Agent, D:\??? ????? ???????«\Windows_Loader_v2.0.4\Windows Loader\Windows Loader.exe, , [692c0a136426db5b02c41759f1103dc3],
PUP.RiskwareTool.CK, D:\??? ????? ???????«\wrar.411\Keygen.exe, , [8f06021b4c3e3bfb4d6ebca6d62c6898],
Trojan.Downloader, D:\??? ????? ???????«\???°N??µ?»N?\tile3d-ver6-ru\crack\Tile3D.exe, , [b6dfc855751571c5d8ddebd78878b64a],
RiskWare.Tool.CK, D:\??? ????? ???????«\cuteftp\crack\cuteftp.pro.v8.3.2.build.09.02.2008.1-nope.exe, , [2075de3f5d2d2d09db322a4efa06fe02],
PUP.Hacktool, D:\??? ????? ???????«\Microsoft Office Collection 2011(Rus)\Mini-KMS Activator v1.072 FIX\Mini-KMS Activator v1.072 FIX\Eng\mKMSAct_Run-on-Win8.exe, , [2a6bd24b4743b87e54105050a060f709],
PUP.Hacktool, D:\??? ????? ???????«\Microsoft Office Collection 2011(Rus)\Mini-KMS Activator v1.072 FIX\Mini-KMS Activator v1.072 FIX\Rus\mKMSAct_Run-on-Win8.exe, , [82130e0fe9a1ea4c4123821e4ab6af51],
PUP.Hacktool, D:\??? ????? ???????«\Microsoft Office Collection 2011(Rus)\MOC_2011\mini-KMS Activator RU 2010\mKMSAct.exe, , [9afb46d7701a989ea7bd435dc43cd42c], [/CODE]
14.02.2015, 14:35
mike 1

[QUOTE]Поместите в карантин МВАМ все, кроме
[/QUOTE]
Это выполнили?
14.02.2015, 14:52
Vag2000

к сожалению, не могу найти где в Malwarebytes Anti-Malware - карантин
14.02.2015, 15:42
thyrex

Запустить повторное сканирование МВАМ, дождаться его окончания и выбрать действие Игнорировать (можно Добавить в исключения) для всех указанных выше записей. У остальных оставить Карантин и применить изменения
14.02.2015, 15:45
Vag2000

[QUOTE=thyrex;1230160]Запустить повторное сканирование МВАМ, дождаться его окончания и выбрать действие Игнорировать (можно Добавить в исключения) для всех указанных выше записей. У остальных оставить Карантин и применить изменения[/QUOTE]

Спасибо, делаю

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Скажите пожалуйста, что делать дальше
14.02.2015, 16:10
thyrex

С расшифровкой не поможем
14.02.2015, 16:16
Vag2000

[QUOTE=thyrex;1230178]С расшифровкой не поможем[/QUOTE]

Подскажите пожалуйста, как расшифровать? куда обратиться? В Помогите+ помогут?
14.02.2015, 17:49
mike 1

[QUOTE]В Помогите+ помогут?[/QUOTE]
Нет.

[QUOTE]Подскажите пожалуйста, как расшифровать? куда обратиться?[/QUOTE]
Пока такое могут расшифровать только злодеи. Может быть у DrWeb что нибудь появится в конце февраля.
14.02.2015, 18:05
Vag2000

[QUOTE=mike 1;1230203]Нет.

Пока такое могут расшифровать только злодеи. Может быть у DrWeb что нибудь появится в конце февраля.[/QUOTE]

Печально..., принципиально злодеям платить не собираюсь!
Мне бы файлы Акрониса расшифровать и я бы все восстановил.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Подскажите в таких случаях стоит подождать или сносить все?
14.02.2015, 23:38
mike 1

Лучше пока подождать где-то до конца февраля, но сразу скажу даже если расшифровка и появится, то не у нас, а у DrWeb.
15.02.2015, 01:09
Vag2000

Буду ждать. Каким лучше антивирусом пользоваться? И получается что антивирусные программы не видят шифровальшиков и по этому не педупреждают об опасности.
15.02.2015, 01:37
mike 1

[QUOTE]И получается что антивирусные программы не видят шифровальшиков и по этому не педупреждают об опасности.[/QUOTE]
Ну, как бы защиты от дурака еще не придумали. Уж извините. Любой антивирус лишь уменьшает риск заболеть, а вашей наивностью и пользуются злодеи, чтобы потом заработать на таких пострадавших как можно больше денег. Пока такие пострадавшие не начнут терять голову при открытии писем от всяких там судебных приставов, то ничего не поменяется. Вот почитайте [url]http://virusinfo.info/announcement.php?f=46&a=52[/url]