ШИфранулись все файлы на компе в расширение "fb4e8835"

Printable View

16.01.2016, 14:12
Batraz Porshe

Вложений: 3

ШИфранулись все файлы на компе в расширение "fb4e8835"

[COLOR=#333333]Добрый день, очень прошу вашей помощи. [/COLOR]

[COLOR=#333333]Все пользовательские файлы на компьютере поменяли расширение на "[/COLOR]fb4e8835[COLOR=#333333]"[/COLOR]

[COLOR=#333333]Очень прошу помощи.[/COLOR]
16.01.2016, 14:13
Info_bot

Уважаемый(ая) [B]Batraz Porshe[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
16.01.2016, 16:22
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe','32');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32');
DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64');
DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
16.01.2016, 17:03
Batraz Porshe

Вложений: 3

выполнил

Карантин не может загрузиться, пишет ошибка такой файл уже загружен. (пытался залить с другим именем).

Логи новые :
16.01.2016, 23:00
thyrex

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
17.01.2016, 12:21
Batraz Porshe

Вложений: 1

Сделал.
17.01.2016, 12:39
thyrex

Удалите в МВАМ все, [B]кроме[/B]
[CODE]Trojan.Agent.RC, C:\Windows\Installer\ac9ba.msi, , [0154201aebaef6402292c0af6d97669a],
Trojan.Agent.Drop, C:\Windows\SysWOW64\hidcon.exe, , [71e4dd5de1b841f515c628165aa88f71], [/CODE]
17.01.2016, 12:41
Batraz Porshe

Сделано.
17.01.2016, 20:32
thyrex

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
17.01.2016, 20:50
Batraz Porshe

Вложений: 1

Сделал
17.01.2016, 21:54
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => No File
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO: No Name -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> No File
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=801010","hxxp://www.yoursearching.com/?type=hp&ts=1451999459&z=d4296957f84a3c71a90af7fgez1w7gat1t2t8zbw3t&from=itr&uid=395049983_1052499_b0cdab52"
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Quick Searcher) - C:\Users\Batik\AppData\Roaming\Opera Software\Opera Stable\Extensions\dighmiipfpfdfbfmpodcmfdgkkcakbco [2016-01-09]
S1 netfilter2; \SystemRoot\system32\drivers\netfilter2.sys [X]
S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys [X]
S2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QQSysMonX64.sys [X]
S1 TAOKernelDriver; \??\C:\Windows\system32\drivers\TAOKernel64.sys [X]
S3 TFsFlt; system32\Drivers\TFsFltX64.sys [X]
S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [38200 2015-06-23] (电脑管家)
2016-01-10 15:54 - 2016-01-10 15:54 - 00001884 ___SH C:\Users\Batik\Desktop\Вoйти в Интeрнeт.lnk
2016-01-09 15:06 - 2016-01-15 17:23 - 00000000 ____D C:\Users\Batik\AppData\Roaming\tor
2016-01-09 15:05 - 2016-01-15 17:23 - 00000000 ____D C:\Users\Batik\AppData\Roaming\OdnUqnxVqtAcmfpq4n
2016-01-09 14:52 - 2016-01-13 21:23 - 00000000 ____D C:\netfilter2
2016-01-09 14:50 - 2016-01-15 17:23 - 00000000 ____D C:\Program Files (x86)\filter
2016-01-09 14:38 - 2016-01-15 17:23 - 00000000 ____D C:\Users\Batik\AppData\Local\SystemDir
2016-01-06 14:06 - 2016-01-06 14:06 - 00000000 ____D C:\Users\Batik\mobogenieP2sp
2016-01-06 14:06 - 2016-01-06 14:06 - 00000000 ____D C:\Users\Batik\AppData\Roaming\Mobogenie
2016-01-05 16:12 - 2016-01-15 17:23 - 00000000 ____D C:\Program Files (x86)\TDataDld
2016-01-05 16:12 - 2016-01-15 17:23 - 00000000 ____D C:\Program Files (x86)\Mobogenie3
2016-01-05 16:12 - 2016-01-06 14:06 - 00000000 ____D C:\Users\Batik\Documents\Mobogenie
2016-01-05 16:12 - 2016-01-06 13:16 - 00000000 ____D C:\Users\Batik\AppData\Roaming\WindowsUpdater
2016-01-05 16:11 - 2016-01-15 17:23 - 00000000 ____D C:\Users\Batik\AppData\Local\ZetaGamesNews
2015-06-23 10:46 - 2015-04-28 22:43 - 0226608 ____H () C:\Users\Batik\AppData\Local\YаndехWоrking.bаt.exe
C:\Users\Batik\Desktop\Вoйти в Интeрнeт.lnk
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\Users\Все пользователи:NT
AlternateDataStreams: C:\Users\Все пользователи:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\Batik\Application Data:NT
AlternateDataStreams: C:\Users\Batik\Application Data:NT2
AlternateDataStreams: C:\Users\Batik\AppData\Roaming:NT
AlternateDataStreams: C:\Users\Batik\AppData\Roaming:NT2
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
Task: {EB62D5F8-17C3-416D-8CD1-FFD6D7BFC4FC} - \ExtensionInstallerX_14 -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
18.01.2016, 07:42
Batraz Porshe

Вложений: 2

Сделал.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Пример зашифрованных файлов.
18.01.2016, 22:53
thyrex

Вложений: 1

[b][color=#FF0000]Внимание![/color][/b] Данный дешифратор предназначен только для пользователя [b]Batraz Porshe[/b]

Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим [COLOR="#FF0000"][B]не рекомендуется[/B][/COLOR].

1. Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов.
2. [url=https://yadi.sk/d/C3BvfaUan5XG2]Дешифратор[/url]

Принцип работы с дешифратором:
1. Сохраните дешифратор в отдельно созданную папку.
2. Сохраните прикрепленное вложение в папку с дешифратором.
3. Распакуйте архив с ключом.
4. Запустите дешифратор и дождитесь окончания его работы.
19.01.2016, 20:50
Batraz Porshe

Ребята цены Вам нет, все файлы с помощью дешифратора расшифровались!)
20.01.2016, 00:27
thyrex

Удалите МВАМ