Printable View
Действия: На почте открыто письмо -> Скачан архив -> Из архива запущен файл -> Началась шифровка ->
Результат: Огромное количество файлов зашифровано.
Далее по Инструкции :
В безопасном режиме проведена проверка [B][URL="http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/"]AVPTool[/URL] и [/B][B][URL="http://www.freedrweb.com/cureit/?lng=ru"]Dr.Web CureIt![/URL] [/B]-> Все найденное удалено.
Уважаемый(ая) [B]KOLOBON[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Program Files\1\codec.exe','');
DeleteFile('C:\Program Files\1\codec.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma');
DeleteFile('C:\iexplore.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[B]Сделайте новые логи по правилам[/B]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/url]
Вот. Есть еще сам файл, который был открыт на почте и с которого все началось(если надо скину ссылку на обменник).
[quote="KOLOBON;1239054"]Есть еще сам файл, который был открыт на почте[/quote]Заархивируйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]
Пофиксите в HiJack
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410512636&from=slbnew&uid=WDCXWD10EADS-00L5B1_WD-WCAU4D44588945889&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410512636&from=slbnew&uid=WDCXWD10EADS-00L5B1_WD-WCAU4D44588945889&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410512636&from=slbnew&uid=WDCXWD10EADS-00L5B1_WD-WCAU4D44588945889&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410512636&from=slbnew&uid=WDCXWD10EADS-00L5B1_WD-WCAU4D44588945889&q={searchTerms}
O1 - Hosts: 54.204.28.26 fickfgcleonkfojnjddoccbkaliaobcf
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)[/CODE]
Содержимое папки C:\Program Files\Письмо заархивируйте с паролем virus (в имени архива не должно быть русских символов) и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Удалите вручную
[QUOTE]C:\оpеrа.bаt.exe
C:\WОТLаunсhеr.bаt.exe
C:\WOTLauncher.bat
C:\opera.bat
C:\iехplоrе.bаt.exe
C:\Ваttlе.nеt Lаunсhеr.bаt.exe
C:\Battle.net Launcher.bat
C:\Users\ДоН\AppData\Roaming\TheAnswerFinder[/QUOTE]
Все сделал, отправил, пофиксил, удалил, прикрепил.
Ссылку, откуда скачали файл, тоже пришлите
Ссылку уже не найти, письмо было в поспешности удалено вместе с файлом. Файл еле - еле удалось вытащить с помощью программ восстановления. Вот есть кусок истории Operы (там где про арбитражный суд - суд точно был в письме), я не спец, но может чем то поможет: Отправленные - [email][email protected][/email] - Почта Mail.Ru
[url]https://e.mail.ru/messages/sent/[/url]
1425266643
2114679
ИЗВЕЩЕНИЕ АРБИТРАЖНОГО СУДА! - [email][email protected][/email] - Почта Mail.Ru
[url]https://e.mail.ru/message/14252667940000000301/[/url]
1425266704
-1
[url]https://e.mail.ru/cgi-bin/link?check=1&refresh=1&cnf=30f96e&url=http%3A%2F%2Fxn--80aakzrfk8dtc.xn--p1ai%2Ftemplates%2F&msgid=14252667940000000301;0;0;1&x-email=greenline-nk%40mail.ru&js=1&redir=1[/url]
[url]https://e.mail.ru/cgi-bin/link?check=1&refresh=1&cnf=30f96e&url=http%3A%2F%2Fxn--80aakzrfk8dtc.xn--p1ai%2Ftemplates%2F&msgid=14252667940000000301;0;0;1&x-email=greenline-nk%40mail.ru&js=1&redir=1[/url]
1425266728
-1
[url]http://xn--80aakzrfk8dtc.xn--p1ai/templates/[/url]
[url]http://подарюшка.рф/templates/[/url]
1425266731
-1
scr файл
[QUOTE]Содержимое папки C:\Program Files\Письмо заархивируйте с паролем virus (в имени архива не должно быть русских символов) и пришлите по красной ссылке Прислать запрошенный карантин вверху темы[/QUOTE]
Загрузите архив с этой папкой заново, в архиве не должно быть русских букв.
Письмо, как и файл были в поспешности удалены. Удалось с помощью программ восстановления вернуть лишь файл. Поэтому ссылку увы предоставить нет возможности (но письмо было, типо, от Арбитражного суда).
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Письмо перезалил.
Пришлите еще в архиве образец зашифрованного файла. Информация из письма ушла в вирлаб
Ушел спать 2 часа ночи, завтра продолжим. Спасибо за работу.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
http://rghost.ru/6LYMbD2Mt
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Ссылочка на архив с несколькими зашифрованными файлами.
[QUOTE=KOLOBON;1239230]
Письмо перезалил.[/QUOTE]
Пароль на архив какой?
Virus :)
Добрый (у меня вечер). Ждём ответа из вирлабы ?
Заранее спасибо за ответ.
C расшифровкой не поможем
Я уже прочитал предыдущие темы про эту заразу старых версий, поэтому в таком ответе был уверен на 99 %.
Всё равно Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]