Вирус зашифровал данные!

Printable View

15.02.2016, 21:00
topabu

Вложений: 1

Вирус зашифровал данные!

"Запросить стоимость декриптора можно, написав письмо на адрес:[email protected]
В ТЕМЕ письма укажите ваш ID:9436251629
Письма без указания ID игнорируются.
Убедительная просьба не пытаться расшифровать файлы сторонними инструментами.
Вы можете их окончательно испортить и даже оригинальный декриптор не поможет.
Приобрести декриптор можно до 18.02.2016
Заявки обрабатываются автоматической системой."
Помогите!!!
AVZ не сохраняет лог. Может вирус не дает. Что делать?
15.02.2016, 21:01
Info_bot

Уважаемый(ая) [B]topabu[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.02.2016, 21:24
thyrex

Стандартный скрипт №2 тоже не выполняется?
15.02.2016, 21:37
topabu

Запускается и процесс как бы идет, а лога нет!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Может чем то другим попробовать лог снять?
15.02.2016, 21:53
thyrex

А Вы дождались окончания сбора лога? Утилита написала, что скрипт выполнен успешно?
15.02.2016, 23:50
topabu

Вложений: 1

Спасибо, все получилось. Посмотрите.... жду помощи
16.02.2016, 10:48
thyrex

Чтобы не быть на нервах, нужно включать голову перед тем, как что-то запускать. Или, если был взлом по RDP, позаботиться о сложных паролях

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Полученные в пп. 4 и 5 логи заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
16.02.2016, 11:26
topabu

Вложений: 3

Отправляю отчеты!
Я точно 100% обнаружил от куда прилетела эта дрянь. На почту пришло сообщение от Автор: "[email protected]" <[email protected]> с текстом "Здравствуйтe
Претендую на вакансию менеджера. Резюме во вложении.
С наилучшими пожеланиями, Анастасия"
... и так совпало... или нет, что я отправлял на сайт zarplata.ru свое резюме в поисках работы. Вот и открыл это заразное вложение (документ Word и внутри этого документа какой то pdf на который я и кликнул) на свою голову.
Если нужно, то я могу выслать это вложение для исследования!!!
16.02.2016, 16:37
thyrex

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.luckysearches.com/?type=hp&ts=1429375145&from=cmi&uid=ST1000LM014-1EJ164_W380EKFTXXXXW380EKFT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.luckysearches.com/web/?type=ds&ts=1429375145&from=cmi&uid=ST1000LM014-1EJ164_W380EKFTXXXXW380EKFT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.luckysearches.com/?type=hp&ts=1429375145&from=cmi&uid=ST1000LM014-1EJ164_W380EKFTXXXXW380EKFT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.luckysearches.com/web/?type=ds&ts=1429375145&from=cmi&uid=ST1000LM014-1EJ164_W380EKFTXXXXW380EKFT&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.luckysearches.com/web/?type=ds&ts=1429375145&from=cmi&uid=ST1000LM014-1EJ164_W380EKFTXXXXW380EKFT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.luckysearches.com/web/?type=ds&ts=1429375145&from=cmi&uid=ST1000LM014-1EJ164_W380EKFTXXXXW380EKFT&q={searchTerms}
FF Extension: AS Magic Player - C:\Users\Владимир\AppData\Roaming\Mozilla\Firefox\Profiles\2e23ksil.default\Extensions\[email protected] [2016-02-16] [not signed]
Task: {1E805303-31C4-4E82-BCF9-175BF8E6CF4F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {24F838DA-C496-4028-9917-63328C650FDD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {38457E94-E00F-4942-80E5-27DC5C5AE4AA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {44E7B1D8-893B-4FC8-B2DD-1514E2AA3044} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {6A1EA5D6-B6CB-4DED-91AB-DA578DD7C4B4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {7B55750B-6169-41B8-B1DD-79F50039DDF9} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7C2829CD-6C43-4217-A962-6CA25385FBCC} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {828386B6-98C2-4F89-BB50-11BCCBB3C2C6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {879A2793-D88F-465D-8807-C86E5428C183} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {9CD3CD9F-F27A-4B1E-A0C5-7029B7CE0497} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {C3C482DF-0CDD-4FD6-BF82-6DBE91711C0E} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Владимир\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION
Task: {E39FADA7-53AA-4DCD-ACC3-EBF0B2267F2B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
16.02.2016, 19:50
topabu

Вложений: 1

Готово

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

ESET Smart Security 9 в ручном тестировании зараженного файла выдал, что это модифицированный Win32/TrojanDownloader.Delf.BQS троянская программа.
17.02.2016, 17:54
thyrex

С расшифровкой не поможем
17.02.2016, 18:56
topabu

[QUOTE=thyrex;1359234]С расшифровкой не поможем[/QUOTE]

Спасибо за старания!(((
18.02.2016, 21:12
topabu

Купил Decryptor за 5000р. Расшифровал все. Если нужен, могу выслать. Может пригодится.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ссылка на Decryptor!!!
[url]https://yadi.sk/d/rdXTOG6vp5FVc[/url]