Всё файлы зашифрованы.
Всё файлы зашифрованы.
Уважаемый(ая) [B]HyKJIeC[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\programdata\byoitrix616\tasksche.exe');
QuarantineFile('c:\programdata\byoitrix616\tasksche.exe','');
DeleteFile('c:\programdata\byoitrix616\tasksche.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]
Вот
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Вот
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
C:\ProgramData\byoitrix616\taskdl.exe
Handler: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - No File
Handler: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - No File
BHO-x32: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> No File
2017-05-12 19:16 - 2017-05-12 18:09 - 00000933 _____ C:\Users\1\Downloads\@[email protected]
2017-05-12 19:16 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\1\Downloads\@[email protected]
2017-05-12 19:15 - 2017-05-12 18:09 - 00000933 _____ C:\Users\1\AppData\Local\@[email protected]
2017-05-12 19:15 - 2017-05-12 18:09 - 00000698 _____ C:\Users\1\AppData\Local\@[email protected]
2017-05-12 19:14 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\@[email protected]
2017-05-12 19:10 - 2017-05-12 22:05 - 03723264 ____S (Microsoft Corporation) C:\Windows\mssecsvc.exe
2017-05-12 18:11 - 2017-05-11 20:13 - 01440054 _____ C:\Users\1\Desktop\@[email protected]
2017-05-12 18:09 - 2017-05-12 22:06 - 00000000 ___HD C:\Users\Все пользователи\byoitrix616
2017-05-12 18:09 - 2017-05-12 22:06 - 00000000 ___HD C:\ProgramData\byoitrix616
2017-05-12 18:09 - 2017-05-12 22:05 - 03514368 ____S (Microsoft Corporation) C:\Windows\tasksche.exe
2017-05-12 18:09 - 2017-05-12 21:54 - 03514368 ____S (Microsoft Corporation) C:\Windows\qeriuwjhrf
2017-05-12 18:09 - 2017-05-12 18:09 - 00000933 _____ C:\Users\1\Desktop\@[email protected]
2017-05-12 18:09 - 2017-05-12 02:22 - 00245760 _____ (Microsoft Corporation) C:\Users\1\Desktop\@[email protected]
2016-06-09 07:25 - 2016-06-20 21:45 - 0003584 _____ () C:\Users\1\AppData\Local\Temp\dateinj01.dll
2017-05-08 09:16 - 2017-05-08 09:16 - 0065536 _____ (Windows (R) Server 2003 DDK provider) C:\Users\1\AppData\Local\Temp\ddu.exe
2017-05-08 09:16 - 2017-05-08 09:16 - 0414152 _____ (Microsoft Corporation) C:\Users\1\AppData\Local\Temp\difxapi.dll
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
Вот
Мусор почистили. Дешифровки на данный момент нет
2 вопроса
1)Вирус обезврежен, я смогу сейчас перекинуть драйвера на флешку, форматировать всё, установить ос и когда буду с флешки устанавливать драйвера я вновь не заражу компьютер?
2)Есть ли версия как это попало на компьютер, или хотя бы дату заражения уточнить можно?
И спасибо за помощь!
Попало через уязвимость в системе, заплатка для которой была выпущена Microsoft в марте. Делайте вывод
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\byoitrix616\tasksche.exe - [B]Trojan-Ransom.Win32.Wanna.b[/B][/LIST][/LIST]