Здравствуйте. Пару дней назад за компьютером сидел ребенок и подхватил шифровальщик. Пробовал делать откат системы, не помогло.
Файлы зашифрованы в формат [COLOR=#333333].cripttt
Заранее благодарю за потраченное время и помощь.[/COLOR]
Здравствуйте. Пару дней назад за компьютером сидел ребенок и подхватил шифровальщик. Пробовал делать откат системы, не помогло.
Файлы зашифрованы в формат [COLOR=#333333].cripttt
Заранее благодарю за потраченное время и помощь.[/COLOR]
Уважаемый(ая) [B]Hayal[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\hayal\appdata\local\systemdir\nethost.exe','');
DeleteFile('C:\Users\hayal\appdata\local\systemdir\nethost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.
[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Карантин отправил.
Вот новые логи:
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.
6. Логи, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Сделано:
Подниму тему, ато что-то забыли про меня...
Несколько зашифрованных файлов пришлите.
Сделайте лог [url="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowsers' Lnk[/url]
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKU\S-1-5-21-2218374584-1547132173-379612394-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://opatolo.ru/?utm_content=83d5920a52d67260f4213f8bddf9126c&utm_source=startpm&utm_term=B4D468E77A01527B66847D90DA102E20
FF Homepage: hxxp://opatolo.ru/?utm_content=83d5920a52d67260f4213f8bddf9126c&utm_source=startpm&utm_term=B4D468E77A01527B66847D90DA102E20
CHR HomePage: Default -> hxxp://opatolo.ru/?utm_content=83d5920a52d67260f4213f8bddf9126c&utm_source=startpm&utm_term=B4D468E77A01527B66847D90DA102E20
2016-02-21 10:27 - 2016-02-21 10:27 - 00000000 ____D C:\Users\hayal\AppData\Local\Вoйти в Интeрнет
2016-02-21 10:19 - 2016-02-21 10:19 - 00000000 ____D C:\Users\hayal\AppData\Local\Поиcк в Интeрнете
2016-02-21 10:17 - 2016-03-23 01:07 - 00000000 ____D C:\Users\hayal\AppData\Local\SystemDir
2016-01-26 23:15 - 2016-01-27 01:32 - 00000000 ____D C:\Users\Все пользователи\ZAeBqitTBG
2016-01-26 23:15 - 2016-01-27 01:32 - 00000000 ____D C:\Users\Все пользователи\YxbDGSAKkR
2016-01-26 23:15 - 2016-01-27 01:32 - 00000000 ____D C:\ProgramData\ZAeBqitTBG
2016-01-26 23:15 - 2016-01-27 01:32 - 00000000 ____D C:\ProgramData\YxbDGSAKkR
2016-01-26 23:15 - 2016-01-26 23:15 - 00000000 ____D C:\Users\hayal\Downloads\Torrentex
AlternateDataStreams: C:\ProgramData\TEMP:5B975772 [282]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:5B975772 [282]
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
Вот несколько зашифрованных файлов(сюда залить не получается, пишет некорректный формат):
[url]http://rghost.ru/7ZdPjTXBG[/url]
[url]http://rghost.ru/8ZVlkzRPD[/url]
Вот логи:
Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.
Проверьте ЛС
Вот лог:
Огромное вам Спасибо, Все файлы восстановились.
У всех восстановленных файлов, сохранились зашифрованные копии. Их как-то можно все сразу удалить или в ручную по одному удалять?
Кнопка Удалить мусор для чего? :)
Понял, спасибо)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\hayal\appdata\local\systemdir\nethost.exe - [B]Trojan.Win32.SelfDel.btwx[/B][/LIST][/LIST]