Помогите пожалуйста с расшифровать файлы зашифрованные [EMAIL="[email protected]"][email protected][/EMAIL]_ZA938 с расширением *.COM_ZA938
Printable View
Помогите пожалуйста с расшифровать файлы зашифрованные [EMAIL="[email protected]"][email protected][/EMAIL]_ZA938 с расширением *.COM_ZA938
Уважаемый(ая) [B]Evgeniy21[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Сколько лет назад были зашифрованы файлы?
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{4646332D-5637-006A-76A7-7A786E7484D7}');
TerminateProcessByName('c:\users\admin\appdata\roaming\update~1\update~1\update~1.exe');
QuarantineFile('c:\users\admin\appdata\roaming\update~1\update~1\update~1.exe','');
DeleteFile('c:\users\admin\appdata\roaming\update~1\update~1\update~1.exe','32');
DeleteFile('C:\Windows\Tasks\6kczku8w.job','32');
DeleteFile('C:\Windows\Tasks\UpdaterEX.job','32');
DeleteFile('C:\Users\Admin\AppData\Local\Temp\3fe31.exe','32');
DeleteFile('C:\Program Files\askpartnernetwork\toolbar\updatemanager.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.
[B][color="Red"] Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к сообщению НОВЫЕ логи[/color][/B]
Скрипты выполнил, карантин отправил, логи снял, Точно сказать не могу когда были зашифрованы, по-моему где-то в 2013г.
И толку от файлов через 4 года? Их уже и сам злодей не сможет расшифровать. Мы тем более.
Только дочистим следы мусора.
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.
Очень жаль что расшифровать не получится, там были фото ребенка, но да и ладно. Все сделал как вы написали, отчеты прикрепил.
Почему сообщения удаляются? Все сделал как вы написали. Отчеты прикрепил.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM\...\Run: [TaskTray] => [X]
SearchScopes: HKU\S-1-5-21-1017061494-1729351716-3796284306-1000 -> {2189153B-1D58-462C-B98E-0E35F2AD79B6} URL = hxxp://www.search.ask.com/web?p2=%5EB2Z%5EYYYYYY%5EYY%5ERU&gct=sb&itbv=12.5.1.1304&o=APN10977&tpid=FF3-V7&apn_uid=72C701E7-6F0E-4758-BCBC-6B9933E74A36&apn_ptnrs=%5EB2Z&apn_dtid=%5EYYYYYY%5EYY%5ERU&apn_dbr=Opera.exe_0_12.16.1860.0&doi=2013-10-11&trgb=IE&q={searchTerms}&psv=
BHO: BonanzaDeals -> {fe063412-bea4-4d76-8ed3-183be6220d17} -> C:\Program Files\BonanzaDeals\BonanzaDealsIE.dll [2013-08-22] (BonanzaDeals)
C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{f9d03c26-0575-497e-821d-f7956d23e0ca}
2011-12-15 21:58 - 2011-12-15 21:58 - 000002598 _____ () C:\Users\Admin\AppData\Roaming\readme.exe
2011-12-15 09:00 - 2011-12-15 09:00 - 000002594 _____ () C:\Users\Admin\AppData\Roaming\syg.exe
2011-12-15 08:37 - 2011-12-15 08:37 - 000000100 ____H () C:\Users\Admin\AppData\Roaming\System.log
2013-06-07 12:36 - 2013-06-07 12:36 - 001028232 _____ (Ask.com) C:\Users\Admin\AppData\Local\Temp\AskPIP_FF_.exe
Task: {0AF85E76-9A47-4F19-8036-8E836CD77C4A} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [2013-10-12] (BonanzaDeals) <==== ATTENTION
Task: {46E66354-639C-42F0-A15E-637651627354} - System32\Tasks\MetaCrawler => C:\Users\Admin\AppData\Roaming\MetaCrawler\UpdateProc\UpdateTask.exe [2013-04-12] () <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]
Пришлите в архиве зашифрованный [B][COLOR="#FF0000"]doc[/COLOR][/B] файл и 10 картинок формата JPG
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\admin\appdata\roaming\update~1\update~1\update~1.exe - [B]not-a-virus:AdWare.Win32.DealPly.brj[/B] ( BitDefender: Trojan.GenericKDV.1261968 )[/LIST][/LIST]