Добрый день! Заразился вирусом просить биткоинты на расшифровку файлов. Скажите пожалуйста что делать?
В доктор вебе отвели Файлы зашифрованы той версией Trojan.Encoder.3953 (wallet), для которой расшифровка нашими силами невозможна.
Printable View
Добрый день! Заразился вирусом просить биткоинты на расшифровку файлов. Скажите пожалуйста что делать?
В доктор вебе отвели Файлы зашифрованы той версией Trojan.Encoder.3953 (wallet), для которой расшифровка нашими силами невозможна.
Уважаемый(ая) [B]sloonik[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\fun4u\fun4u_notification_service.exe','');
DeleteFile('C:\Windows\Tasks\9e7cd63f-1443-4499-b0bd-0f7ae0395f74.job','32');
DeleteFile('C:\Windows\Tasks\fun4u_notification_service.job','32');
DeleteFile('C:\Program Files (x86)\fun4u\fun4u_notification_service.exe','32');
DeleteFile('C:\Windows\system32\Tasks\fun4u_notification_service','64');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
Всё сделал по инструкции.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Единственное не пойму quarantine.zip пусйто файл получается,
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
этот скрипт запускать после того как перезагрузится компьютер, после предыдущего скрипта?
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
в архиве 2 отчета, всё как по инструкции
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
С расшифровкой поможите?
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-2599485124-135251394-3698084726-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - No File
2017-05-11 02:29 - 2017-05-11 23:26 - 00013916 _____ C:\Users\ELHAN\AppData\Roaming\Info.hta
2017-05-11 02:29 - 2017-05-11 23:26 - 00000692 _____ C:\Users\ELHAN\Desktop\How to decrypt files.txt
2017-05-11 02:29 - 2017-05-11 21:05 - 00013916 _____ C:\Windows\system32\Info.hta
2017-05-11 02:29 - 2017-05-11 21:05 - 00000692 _____ C:\Users\Public\Desktop\How to decrypt files.txt
Task: {1D093A87-FE91-4F98-A598-CA5D2F947DE2} - \chrome5_logon -> No File <==== ATTENTION
Task: {66D615A6-7545-4E35-9151-CFF4D0906EC4} - \Soft installer -> No File <==== ATTENTION
Task: {6915F386-B797-4BFA-AAFD-BE23312F5C40} - \chrome5 -> No File <==== ATTENTION
Task: {89F946F6-9D05-44A5-95CF-FF64F2F1BECE} - \DNSMOHAWK -> No File <==== ATTENTION
Task: {AF73928D-D1E1-45E5-813F-86309BE16EA3} - \Optimizer Pro Schedule -> No File <==== ATTENTION
Task: {F25F1210-2BA2-4410-BBB5-474EFE6C10BA} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:373E1720 [131]
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [116]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:373E1720 [131]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [116]
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.CommonStartup
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Skanda 43.exe => C:\Windows\pss\Skanda 43.exe.CommonStartup
MSCONFIG\startupfolder: C:^Users^ELHAN^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Info.hta => C:\Windows\pss\Info.hta.Startup
MSCONFIG\startupfolder: C:^Users^ELHAN^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Skanda 43.exe => C:\Windows\pss\Skanda 43.exe.Startup
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
сделал
Мне кто нибудь поможет?
Помощь оказывается добровольно в свободное от основных занятий время.
С расшифровкой помочь не сможем.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]