День добрый!
Нужна помощь.
Вирус зашифровал файлы, плюс переименовал - добавил расширение .hjghzef и joihzef
3 файла выслал
С уважением, Абрамов
Printable View
День добрый!
Нужна помощь.
Вирус зашифровал файлы, плюс переименовал - добавил расширение .hjghzef и joihzef
3 файла выслал
С уважением, Абрамов
Уважаемый(ая) [B]Abramov[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[QUOTE=Info_bot;1237892]Уважаемый(ая) [B]Abramov[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].[/QUOTE]
Все сделал и выслал три файла
[QUOTE=Abramov;1237893]Все сделал и выслал три файла[/QUOTE]
Логи прикрепляют в теме, а не засоряют систему карантинов ненужными файлами.
[QUOTE=mike 1;1237934]Логи прикрепляют в теме, а не засоряют систему карантинов ненужными файлами.[/QUOTE]
Не получается создать карантин - пишет ошибка
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=mike 1;1237934]Логи прикрепляют в теме, а не засоряют систему карантинов ненужными файлами.[/QUOTE]
Прикрепляю
[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
QuarantineFile('C:\Users\User\AppData\Local\Temp\nceuohj.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\INOFVH.exe','');
DeleteFile('C:\Users\User\AppData\Roaming\INOFVH.exe','32');
DeleteFile('C:\Windows\Tasks\INOFVH.job','32');
DeleteFile('C:\Windows\system32\Tasks\INOFVH','32');
DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32');
DeleteFile('C:\Users\User\AppData\Local\Temp\nceuohj.exe','32');
DeleteFile('C:\Windows\system32\Tasks\oyfcbuc','32');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
[QUOTE=mike 1;1238266][B][COLOR=#FF0000]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе [URL="http://virusinfo.info/forumdisplay.php?f=46"]Лечение компьютерных вирусов[/URL] и выполните [URL="http://virusinfo.info/content.php?r=136-pravila"]Правила оформления запроса о помощи[/URL].
Здравствуйте!
Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].
[B][COLOR=#000080]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):
[CODE]
begin
QuarantineFile('C:\Users\User\AppData\Local\Temp\nceuohj.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\INOFVH.exe','');
DeleteFile('C:\Users\User\AppData\Roaming\INOFVH.exe','32');
DeleteFile('C:\Windows\Tasks\INOFVH.job','32');
DeleteFile('C:\Windows\system32\Tasks\INOFVH','32');
DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32');
DeleteFile('C:\Users\User\AppData\Local\Temp\nceuohj.exe','32');
DeleteFile('C:\Windows\system32\Tasks\oyfcbuc','32');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR=Blue]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
[LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR=Blue]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].[/QUOTE]
Высылаю
Мда, с чтением явно какие-то проблемы. Еще раз прочитайте 6 сообщение внимательно и самое главное вдумчиво. Кто просил отчеты в карантин добавлять? :O
[QUOTE=mike 1;1238513]Мда, с чтением явно какие-то проблемы. Еще раз прочитайте 6 сообщение внимательно и самое главное вдумчиво. Кто просил отчеты в карантин добавлять? :O[/QUOTE]
Прочитал. Подумал.
Что надо переделать?
Вам написали что нужно сделать. Извините, но я не знаю как объяснить человеку, который не хочет читать то что ему написали сделать в 6 сообщении.
[QUOTE=mike 1;1239014]Вам написали что нужно сделать. Извините, но я не знаю как объяснить человеку, который не хочет читать то что ему написали сделать в 6 сообщении.[/QUOTE]
вроде так.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=mike 1;1239014]Вам написали что нужно сделать. Извините, но я не знаю как объяснить человеку, который не хочет читать то что ему написали сделать в 6 сообщении.[/QUOTE]
Извиняюсь. Не то вложил
[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B], а по окончанию сканирования нажмите кнопку "[B]Очистить[/B]" ("[B]Clean[/B]") и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img]
[QUOTE=mike 1;1239168][LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B], а по окончанию сканирования нажмите кнопку "[B]Очистить[/B]" ("[B]Clean[/B]") и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img][/QUOTE]
Высылаю.
[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
[QUOTE=mike 1;1239322][list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
Reboot:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list][/QUOTE]
Высылаю
С расшифровкой не поможем. Файлы зашифрованы CTB-Locker'om, который невозможно расшифровать без помощи злодеев.
[url]http://blog.kaspersky.ru/new-version-ctb-locker/6792/[/url]
[url]http://news.drweb.ru/show/?c=5&i=9245&lng=ru[/url]
[QUOTE=mike 1;1239559]С расшифровкой не поможем. Файлы зашифрованы CTB-Locker'om, который невозможно расшифровать без помощи злодеев.
[url]http://blog.kaspersky.ru/new-version-ctb-locker/6792/[/url]
[url]http://news.drweb.ru/show/?c=5&i=9245&lng=ru[/url][/QUOTE]
Спасибо.
Ладно. С этим ясно.
А что теперь?
Проявится ли он далее?
Пока после переустановки системы работаем, сохраняем, копируем на внешние носители, и пока проблем нет.
Чего боятся и опасаться?
Активного шифратора не было. Судя по расширению шифратор умудрились запустить 2 раза.
[QUOTE]Проявится ли он далее?[/QUOTE]
Этот компьютер чистый.
[QUOTE]Чего боятся и опасаться?[/QUOTE]
Боятся нужно чтобы кто из персонала второй раз не наступил на одни и те же грабли, поэтому в идеале конечно нужно обучить персонал хотя бы азам компьютерной грамотности. А администратору локальной сети стоит задуматься над следующим:
1. Почаще делать бекапы
2. Настроить политики должным образом, чтобы пользователи не могли запускать потенциально опасные типы файлов.
Сегодня получил "китайское" предупреждение.
Что предпринять? Думаю - ничего не надо делать. Правильно?
Hi Oleg,
I have sent you a few emails to try to make you aware that your files are not currently being backed up.
This is your last chance to activate MyPC Backup and start protecting your files otherwise we will delete your files you backed up tonight at Midnight.
I’m sorry I couldn’t persuade you that backing up is now part of our digital life we now live in and it's an insurance we now need to stop us from losing all our irreplaceable files, photo's and documents.
As a last ditch attempt to get you to automate your computer backup’s here is a 70% Discount.
Protect your files today with a 70% discount: secure.mypcbackup.com/?scoup=70
You have until midnight tonight otherwise we will have to delete the files you backed up with us and you won’t be able to restore these files if you have a computer crash and lose them
Unfortunately though Oleg, there are still some files on your computer which we did not manage to backup as you need to add more storage space.
Again my apologies Oleg
Best Regards,
Gabriel
Account Manager
MyPC Backup
This email was sent from MyPC Backup, Unit 6, Fulcrum 2, Solent Way, Whiteley, PO15 7FN
Unsubscribe: [mypcbackup.com/unsubscribe?email=abramovv%40svitonline.com
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]