эта гадость зашифровала, сейчас прикреплю логи АВЗ
+ Universal Virus Sniffer (uVS)
эта гадость зашифровала, сейчас прикреплю логи АВЗ
+ Universal Virus Sniffer (uVS)
Уважаемый(ая) [B]DionMaster[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
тема схожа с [url]http://virusinfo.info/showthread.php?t=165550[/url]
еще логи
И что это за каша из отчетов?
Это авз virusinfo_syscure.xml и virusinfo_syscure.htm пришлось упаковать не прилеплялись
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
HijackThis
Логи нужны из локальной сессии прямо за компьютером, а не из терминальной
а вот это сложнее я в 500км от тудава
логи
[url]https://cloud.mail.ru/public/a93a193d3c9b%2Fvirusinfo_autoquarantine.zip[/url]
[url]https://cloud.mail.ru/public/c650b275bd04%2Fvirusinfo_syscure.htm[/url]
[url]https://cloud.mail.ru/public/635b1fe486fc%2Fvirusinfo_syscure.xml[/url]
[url]https://cloud.mail.ru/public/86ef9af727d6%2Fvirusinfo_syscure.zip[/url]
Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]
готово
MPK-кейлоггер сами устанавливали?
нет
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
походу его сносить надо...
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
мне надеяться на находку шифратора?
[QUOTE]C:\???????°N? ???°?????° (2)\89232089\2036755832\log.exe[/QUOTE]запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Это и есть шифровальщик. Не потеряйте ибо без него не получится написать дешифровку
Поместите в карантин МВАМ всё, [B]кроме[/B]
[CODE]PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Good: (0), Bad: (1),,[233412051d5f46f037301d0563a241bf]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Good: (0), Bad: (1),,[89ceae696a129f971157a18128ddab55]
HackTool.Agent, C:\_Documents and Settings\quest12\?*?°?±??N????? N?N????»\vnc_scanner_gui\vnc.exe, , [9dbaa1769fdd989e15a07f980bf712ee],
HackTool.Agent, C:\_Documents and Settings\user\?*?°?±??N????? N?N????»\Kaspersky\vnc.exe, , [9bbcfe196e0e8ea8674e57c0ee14fe02],
RiskWare.Tool.Vkbot, C:\_Documents and Settings\User777\?????? ??????N????µ??N?N?\???°??N?N??·????\VkBot(1).exe, , [63f472a5acd0a6903e0da99306ff58a8],
PUP.RemoteAdmin, C:\_Program Files (x86)\Radmin\AdmDll.dll, , [3126c354f5875adc1ad2f7ffb94b649c],
PUP.RemoteAdmin, C:\_Program Files (x86)\Radmin\raddrv.dll, , [79de8691067641f5f98d6d8984807f81],
Trojan.FakeMS.ED, C:\_WINDOWS\system32\dllcache\wactmovie.exe, , [a1b63ed9a2da1521cc0da56d56ab18e8],
Trojan.FakeMS.ED, C:\_WINDOWS\system32\dllcache\walg.exe, , [7fd852c5b2ca81b581605d0dac54966a],
Trojan.Downloader, C:\_WINDOWS\system32\dllcache\wat.exe, , [302732e5a0dc95a151273f266c94748c],
Backdoor.Bot, C:\_WINDOWS\system32\dllcache\wconime.exe, , [2f28b7602d4fd36326c8352a9a66c23e],
Trojan.FakeMS.ED, C:\_WINDOWS\system32\dllcache\wnlb.exe, , [5ff8ba5d5f1d41f52cdb4bd5cc3554ac],
Trojan.FakeMS, C:\_WINDOWS\system32\dllcache\wodbcconf.exe, , [570076a1047870c63c36e9cc41c01ce4],
Backdoor.Bot, C:\_WINDOWS\system32\dllcache\wroute.exe, , [52052cebd1abf14546a64d122bd551af],
FakeMS, C:\_WINDOWS\system32\dllcache\wsvchost.exe, , [a7b0a077f5878ea8712e75ebdb25768a],
Trojan.FakeMS.ED, C:\_WINDOWS\system32\dllcache\wwlbs.exe, , [c7900116f983142245c2130dea17bd43],
Trojan.Agent, C:\_WINDOWS\system32\dllcache\w_isdel.exe, , [b1a6dc3b502c83b3c57933896f91f30d],
PUP.RemoteAdmin, C:\_WINDOWS\SysWOW64\admdll.dll, , [71e63ed9a5d7f2448c6065912fd5ec14],
PUP.RemoteAdmin, C:\_WINDOWS\SysWOW64\raddrv.dll, , [154243d407752d09c2c4ba3c9a6a2cd4],
Trojan.Agent, C:\_WINDOWS\SysWOW64\InstallShield\_isdel.exe, , [83d4e136e29a3bfbbe808438d927ee12],[/CODE]
готово
Система возможна поражена еще и файловым вирусом Parite
Проверьтесь [url]http://support.kaspersky.ru/viruses/rescuedisk[/url]
компьютер очень далеко, могу только по удаленке... боюсь там не справятся с проверкой... мне-бы часть файлов востановить перенести в другое место
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
хотя щас попробую обьяснить что к чему может смогут
Уточните у пострадавших, был ли когда-то компьютер зашифрован другой версией шифровальщика, которая дописывала к файлам расширение .kozel@qq_com
был... но там проблемма была решена наличием копий
Тогда C:\???????°N? ???°?????° (2)\89232089\2036755832\log.exe тоже удаляйте. Это был шифровальщик старой версии
Пока помочь нечем
Попробуйте восстановить при помощи R-Studio файл [B]build_376.exe[/B]