Все файлы зашифрованы

Printable View

18.12.2015, 16:07
Олеся Леся

Вложений: 3

Все файлы зашифрованы

Помогите пожалуйста!!!
На рабочую почту пришло письмо с исправленным счетом якобы от Ростелеком, во вложении был файл, после скачивания все файлы зашифровались, предлажили отправить письмо с кодом [COLOR=#333333][FONT=Arial]41BDDB60F9C0270971EE|0[/FONT][/COLOR] на адрес [B][COLOR=#000000][FONT=Arial][email protected]
Помогите расшифровать!!![/FONT][/COLOR][/B]
18.12.2015, 16:09
Info_bot

Уважаемый(ая) [B]Олеся Леся[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
19.12.2015, 17:37
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Documents and Settings\Application Data\WUTHPZ.exe','');
QuarantineFile('C:\Documents and Settings\Application Data\RMJPES.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-7.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-6.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-5.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-3.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-11.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-7.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-10.exe','');
QuarantineFile('C:\Program Files\ver5BlockAndSurf\R0BlockAndSurfQ33.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-7.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-6.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-5.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-3.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-11.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-10.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-1-7.exe','');
QuarantineFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-1-6.exe','');
QuarantineFile('C:\Documents and Settings\Эльдар\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('c:\docume~1\alluse~1\applic~1\browse~1\25976~1.107\{c16c1~1\mngr.dll','');
QuarantineFile('C:\Documents and Settings\Эльдар\Local Settings\Application Data\Hostinstaller\2022912930_installcube.exe','');
DeleteService('qrnfd_1_10_0_9');
QuarantineFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','');
DeleteService('globalUpdate');
DeleteService('globalUpdatem');
DeleteService('qrsvc_1.10.0.9');
QuarantineFile('C:\Program Files\QuickRef_1.10.0.9\Service\qrsvc.exe','');
QuarantineFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe','');
SetServiceStart('Browser Manager', 4);
DeleteService('Browser Manager');
SetServiceStart('WindowsMangerProtect', 4);
DeleteService('WindowsMangerProtect');
SetServiceStart('BasementDuster', 4);
QuarantineFile('C:\Program Files\IGS\BasementDuster.exe','');
DeleteService('BasementDuster');
QuarantineFile('c:\documents and settings\all users\application data\tmp0x0x\protectwindowsmanager.exe','');
DeleteFile('c:\documents and settings\all users\application data\tmp0x0x\protectwindowsmanager.exe','32');
DeleteFile('C:\Documents and Settings\Эльдар\Local Settings\Application Data\Mail.Ru\Sputnik\IESearchPlugin.dll','32');
DeleteFile('C:\Program Files\IGS\BasementDuster.exe','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.exe','32');
DeleteFile('C:\Program Files\globalUpdate\Update\GoogleUpdate.exe','32');
DeleteFile('C:\Program Files\QuickRef_1.10.0.9\Service\qrsvc.exe','32');
DeleteFile('C:\windows\system32\drivers\qrnfd_1_10_0_9.sys','32');
DeleteFile('C:\Documents and Settings\Эльдар\Local Settings\Application Data\Hostinstaller\2022912930_installcube.exe','32');
DeleteFile('c:\docume~1\alluse~1\applic~1\browse~1\25976~1.107\{c16c1~1\mngr.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Soft installer');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
DeleteFile('C:\Documents and Settings\Эльдар\Local Settings\Application Data\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-1-6.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-1-7.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-10.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-11.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-3.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-5.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-6.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV24.03\6a1342ee-b38d-4d50-a2aa-31d99af81a13-7.exe','32');
DeleteFile('C:\windows\Tasks\6a1342ee-b38d-4d50-a2aa-31d99af81a13-7.job','32');
DeleteFile('C:\windows\Tasks\6a1342ee-b38d-4d50-a2aa-31d99af81a13-6.job','32');
DeleteFile('C:\windows\Tasks\6a1342ee-b38d-4d50-a2aa-31d99af81a13-5.job','32');
DeleteFile('C:\windows\Tasks\6a1342ee-b38d-4d50-a2aa-31d99af81a13-3.job','32');
DeleteFile('C:\windows\Tasks\6a1342ee-b38d-4d50-a2aa-31d99af81a13-11.job','32');
DeleteFile('C:\windows\Tasks\6a1342ee-b38d-4d50-a2aa-31d99af81a13-10_user.job','32');
DeleteFile('C:\windows\Tasks\6a1342ee-b38d-4d50-a2aa-31d99af81a13-1-7.job','32');
DeleteFile('C:\windows\Tasks\6a1342ee-b38d-4d50-a2aa-31d99af81a13-1-6.job','32');
DeleteFile('C:\Program Files\ver5BlockAndSurf\R0BlockAndSurfQ33.exe','32');
DeleteFile('C:\windows\Tasks\BlockAndSurf Update.job','32');
DeleteFile('C:\windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6.job','32');
DeleteFile('C:\windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-1-7.job','32');
DeleteFile('C:\windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-10_user.job','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-10.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-7.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-11.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-3.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-5.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-6.exe','32');
DeleteFile('C:\Program Files\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-7.exe','32');
DeleteFile('C:\windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-7.job','32');
DeleteFile('C:\windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-6.job','32');
DeleteFile('C:\windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-5.job','32');
DeleteFile('C:\windows\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-11.job','32');
DeleteFile('C:\windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
DeleteFile('C:\windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
DeleteFile('C:\windows\Tasks\RMJPES.job','32');
DeleteFile('C:\Documents and Settings\Application Data\RMJPES.exe','32');
DeleteFile('C:\windows\Tasks\SmartWeb Upgrade Trigger Task.job','32');
DeleteFile('C:\windows\Tasks\SpeedUpMyPC Maintenance.job','32');
DeleteFile('C:\windows\Tasks\SpeedUpMyPC Startup.job','32');
DeleteFile('C:\windows\Tasks\WUTHPZ.job','32');
DeleteFile('C:\Documents and Settings\Application Data\WUTHPZ.exe','32');
DeleteFile('C:\Program Files\Uniblue\SpeedUpMyPC\speedupmypc.exe','32');
DeleteFile('C:\Documents and Settings\Эльдар\Local Settings\Temp\~DFBC6D.tmp','32');
DeleteFile('C:\Documents and Settings\Эльдар\Local Settings\Temp\nsb318.tmp\blowfish.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
21.12.2015, 10:08
Олеся Леся

Спасибо за помощь, только я немного не поняла что делать, я не такой уж сильный специалист в компе.
21.12.2015, 19:48
thyrex

[url]http://virusinfo.info/showthread.php?t=7239[/url]
22.12.2015, 11:00
Олеся Леся

я выполнила скрипт, после этого мне надо что сделать, опять [url]http://virusinfo.info/content.php?r=136-pravila[/url] вот это все?
22.12.2015, 16:13
thyrex

Именно так. Сразу начинайте с раздела Диагностика
23.12.2015, 11:00
Олеся Леся

Вложений: 3

Доброе утро!!! Это новые логи.Файл с карантином тоже отправила.
24.12.2015, 23:42
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
28.12.2015, 11:01
Олеся Леся

Вложений: 1

Доброе утро!!!
28.12.2015, 16:24
thyrex

Удалите в МВАМ все найденное
29.12.2015, 09:56
Олеся Леся

Все удалила, что делать дальше?
29.12.2015, 20:04
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
11.01.2016, 09:50
Олеся Леся

Вложений: 1

Доброе утро!!!
12.01.2016, 11:38
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
Toolbar: HKU\S-1-5-21-1078081533-838170752-725345543-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File
CHR HomePage: Default -> hxxp://www.mysites123.com/?type=hp&ts=1450256837&z=5c162aa4533b663a3e41860g4zdw8e8oew4qfo6bae&from=wscy2&uid=ST9120822AS_5LZ298EPXXXX5LZ298EP
CHR NewTab: Default -> "chrome-extension://iflppbjnpneiigcbdfjpnkebidmkjmoi/visual-bookmarks.html","chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
CHR DefaultSearchURL: Default -> hxxp://www.mysites123.com/web/?type=ds&ts=1450256837&z=5c162aa4533b663a3e41860g4zdw8e8oew4qfo6bae&from=wscy2&uid=ST9120822AS_5LZ298EPXXXX5LZ298EP&q={searchTerms}
CHR DefaultSearchKeyword: Default -> mysites123
CHR Extension: (Quick Searcher) - C:\Documents and Settings\Эльдар\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gibkoahgjfhphbmeiphbcnhehbfdlcgo [2015-12-16]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe hxxp://www.mysites123.com/?type=sc&ts=1450256837&z=5c162aa4533b663a3e41860g4zdw8e8oew4qfo6bae&from=wscy2&uid=ST9120822AS_5LZ298EPXXXX5LZ298EP
StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe hxxp://www.mysites123.com/?type=sc&ts=1450256837&z=5c162aa4533b663a3e41860g4zdw8e8oew4qfo6bae&from=wscy2&uid=ST9120822AS_5LZ298EPXXXX5LZ298EP
C:\Documents and Settings\Эльдар\Local Settings\Temp\amigoBrowser.exe
C:\Documents and Settings\Эльдар\Local Settings\Temp\AmigoDistrib.exe
C:\Documents and Settings\Эльдар\Local Settings\Temp\amigoSearch.exe
C:\Documents and Settings\Эльдар\Local Settings\Temp\amigo_setup.exe
C:\Documents and Settings\Эльдар\Local Settings\Temp\enxcript.exe
C:\Documents and Settings\Эльдар\Local Settings\Temp\hcv_mailruhomesearch.exe
C:\Documents and Settings\Эльдар\Local Settings\Temp\ResetDevice.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
13.01.2016, 10:55
Олеся Леся

Доброе утро, у меня не получается сохранить в Farbar Recovery Scan Tool, при открытии созранить как он там не показывается эта программа, может можно как то по другому это сделать.
14.01.2016, 20:43
thyrex

Трудности с сохранением файла на Рабочий стол что-ли?
14.01.2016, 20:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]