[B]Хочу попросить Вашей помощи в приоритетном порядке в устранении последствий работы шифровальщика. НО ! У меня нет аккаунта на paypal и оформить коммерческую подписку не получается. Как поступить, писал в личку, со мной никто не связался..[/B]:(
Printable View
[B]Хочу попросить Вашей помощи в приоритетном порядке в устранении последствий работы шифровальщика. НО ! У меня нет аккаунта на paypal и оформить коммерческую подписку не получается. Как поступить, писал в личку, со мной никто не связался..[/B]:(
Уважаемый(ая) [B]Евгений-София[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Для начала предоставьте логи и подробное описание шифровальщика - возможно, платную подписку и нет смысла оформлять.
После заражения, в четверг сделал логи этими утилитами. Я новичок на форуме, эти логи и описание можно запостить в эту тему ?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
P.S. Vvvyg, Вадим. Привет из Тулы,земляк ))
[QUOTE=Евгений-София;1352588]Я новичок на форуме, эти логи и описание можно запостить в эту тему ?[/QUOTE]
Нужно.
Ок. В редми файлах следующее обращение:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
926F93222B086846BEC1|399|2|10
на электронный адрес [email][email protected][/email] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Все док файлы приобрели вид : 4BU2I-GHk6xjX3Y1NpXX2n6Pz2OoHFyb7prCNNg6f6MGzJ1mGOGccVsgOnEqpX30.926F93222B086846BEC1.breaking_bad
Логи :
По правилам форума логи - т. е. файлы virusinfo_syscure.zip, HijackThis.log (которого нет) прикрепляются к сообщению.
Карантин, т. е. файл virusinfo_autoquarantine.zip нужно загружать о ссылке "Прислать запрошенный карантин" над над первым сообщением в теме, в открытый доступ его выкладывать [B][COLOR="#FF0000"]запрещено[/COLOR][/B].
[ATTACH=CONFIG]612763[/ATTACH]
[ATTACH=CONFIG]612764[/ATTACH]
В карантин тоже отправил.
Кейлоггер в папке C:\NeoSpy сами устанавливали?
Ссылку на карантин (Яндекс.Диск) тоже уберите.
IObit Advanced SystemCare сами устанавливали?
IObit и neospy устанавливали сами. Ссылку убираю.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\screentk.sys', '');
QuarantineFile('C:\WINDOWS\system32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}t.sys', '');
DeleteFile('C:\WINDOWS\system32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}t.sys', '32');
DeleteFile('C:\WINDOWS\screentk.sys', '32');
DeleteFile(':\WINDOWS\sembako-chzjlpi.exe', '32');
DeleteService('screentk');
DeleteService('{b9a19c25-a741-47e5-91a2-0b62bef307ff}t');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(3);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
[ATTACH=CONFIG]612792[/ATTACH]
[ATTACH=CONFIG]612793[/ATTACH]
Удалите программы:
FLV Player Packages
Remote Desktop Access (VuuPC)
Screentool - снимки экрана
Тут недорого version 2.7.11
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => 0
AppInit_DLLs: C:\NeoSpy\nspl.dll => No File
HKU\S-1-5-21-436374069-1425521274-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://rts.dsrlte.com?affID=na
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab&affID=na" <======= ATTENTION
FF SearchEngineOrder.1: Ask.com
FF Extension: SaveSense - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{2d7886a0-85bb-4bf2-b684-ba92b4b21d23} [2014-02-15] [not signed]
CHR HKLM\...\Chrome\Extension: [ajjpgnlpolfpnebjjaciccmmjnmjfjkl] - C:\Program Files\RightSurf\ajjpgnlpolfpnebjjaciccmmjnmjfjkl.crx <not found>
CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Documents and Settings\Admin\Local Settings\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [2014-01-26]
S2 savesenselive; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-02-15] (SaveSense)
S3 savesenselivem; C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe [146920 2014-02-15] (SaveSense)
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README9.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README8.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README7.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README6.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README5.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README4.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README3.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README2.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README10.txt
2016-01-19 17:11 - 2016-01-19 17:11 - 00000859 _____ C:\README1.txt
2012-03-27 22:03 - 2012-03-27 22:03 - 0005325 ____C () C:\Documents and Settings\Admin\Local Settings\Application Data\JunkAtx18.bin
2012-03-27 22:00 - 2012-03-27 22:00 - 0000051 ____C () C:\Documents and Settings\Admin\Local Settings\Application Data\Kosong.Bron.Tok.txt
Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe <==== ATTENTION
Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe <==== ATTENTION
C:\Program Files\SaveSenseLive
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus-chiplvtv" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Guard.Mail.ru.gui" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\multibar.exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus-1464" /f
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
C расшифровкой не поможем.
Не совсем понятно для чего делать вышеописанные действия, если расшифровать не удастся ?
Почистить adware и остатки вирусов.
Ок. Спасибо за попытку. То есть, ничего нельзя сделать в принципе ? Дайте совет, есть ли варианты?
Возможно, когда-нибудь, ключи расшифровки попадут в правоохранительные органы и/или в антивирусные лаборатории... Грамотно написанный шифровальщик шансов не оставляет, увы.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\neospy\main.exe - [B]not-a-virus:Monitor.Win32.NeoSpy.pq[/B] ( BitDefender: Backdoor.Hupigon.287499 )[*] c:\windows\screentk.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.ay[/B] ( DrWEB: Trojan.Triosir.161 )[*] c:\windows\system32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}t.sys - [B]not-a-virus:RiskTool.Win32.NetFilter.q[/B] ( DrWEB: Trojan.Yontoo.1741, BitDefender: Adware.NetFilter.J )[/LIST][/LIST]