Зашифровались файлы на компьютере. Вымогатель с ником "Tvoi Koshmar " пишет с адреса [email][email protected][/email]. Проверка компьютера и лечащие утилиты результата не дали. Архив с зашифрованными файлами во вложении. Прошу помощи.
Printable View
Зашифровались файлы на компьютере. Вымогатель с ником "Tvoi Koshmar " пишет с адреса [email][email protected][/email]. Проверка компьютера и лечащие утилиты результата не дали. Архив с зашифрованными файлами во вложении. Прошу помощи.
Уважаемый(ая) [B]niki_88[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Прикрепляю результаты работы AVZ и HiJack
Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\syswow64\netupdsrv.exe','');
QuarantineFile('C:\Windows\system32\nethtsrv.exe','');
QuarantineFile('C:\Windows\syswow64\nethtsrv.exe','');
QuarantineFile('C:\Windows\syswow64\hfpapi.dll','');
QuarantineFile('C:\Windows\syswow64\hfnapi.dll','');
QuarantineFile('C:\Windows\system32\netupdsrv.exe','');
QuarantineFile('C:\Windows\system32\hfpapi.dll','');
QuarantineFile('C:\Windows\system32\hfnapi.dll','');
QuarantineFile('C:\Users\vovremya\AppData\Local\17375\a30104.exe','');
SetServiceStart('NetHttpService', 4);
DeleteService('NetHttpService');
QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys','');
QuarantineFile('C:\Windows\SysWOW64\hfpapi.dll','');
QuarantineFile('C:\Windows\SysWOW64\hfnapi.dll','');
TerminateProcessByName('c:\windows\syswow64\nethtsrv.exe');
QuarantineFile('c:\windows\syswow64\nethtsrv.exe','');
DeleteFile('c:\windows\syswow64\nethtsrv.exe','32');
DeleteFile('C:\Windows\SysWOW64\hfnapi.dll','32');
DeleteFile('C:\Windows\SysWOW64\hfpapi.dll','32');
DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys','32');
DeleteFile('C:\Users\vovremya\AppData\Local\17375\a30104.exe','32');
DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
DeleteFile('C:\Windows\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\Windows\system32\hfnapi.dll','32');
DeleteFile('C:\Windows\system32\hfpapi.dll','32');
DeleteFile('C:\Windows\system32\netupdsrv.exe','32');
DeleteFile('C:\Windows\syswow64\hfnapi.dll','32');
DeleteFile('C:\Windows\syswow64\hfpapi.dll','32');
DeleteFile('C:\Windows\syswow64\nethtsrv.exe','32');
DeleteFile('C:\Windows\system32\nethtsrv.exe','32');
DeleteFile('C:\Windows\syswow64\netupdsrv.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением в Вашей теме.
[B][COLOR="Blue"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]
Карантин загрузил.
Результат загрузки
Файл сохранён как 150711_012636_virus_55a0388c28015.zip
Размер файла 1175818
MD5 f97e8a3cb73644d58154608bc44d4585
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Результаты повторного выполнения AVZ и HiJack
Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Прикладываю результаты работы "Farbar Recovery Scan Tool".
Что в папке C:\Program Files (x86)\- ?
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
Task: {EAF9AEF4-BF04-4689-A9DF-A09C4D74050B} - \pkdrysg No Task File <==== ATTENTION
2015-07-11 00:13 - 2014-09-23 08:02 - 00000000 ____D C:\Users\vovremya\AppData\Local\17375
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
В папке "C:\Program Files (x86)\-" судя по всему находился exe-файл с вирусом (назывался, если не ошибаюсь, "informer.exe". Создан датой, соответствующей дате заражения. Точное название не запомнил, так как установленный антивирус Microsoft этот файл сразу удалил).
Прикрепляю файл Fixlog.txt
Папку удалите.
С расшифровкой не поможем
Варианты? DrWeb, лаборатория Kaspersky (при наличии соответствующей лицензии) помогут ?
Нет, не помогут
Как вариант, [url]http://virusinfo.info/showthread.php?t=156188[/url]
Нет, не поможет. Пока имеет смысл сохранить зашифрованные файлы на отдельный диск и ждать расшифровки.
Если заплатить злоумышленнику, он присылает рабочий расшифровщик? (по опыту вашего общения с пострадавшими)?
Обычно не обманывают. Но я бы пока рекомендовал не платить, а подождать какое-то время.
Сколько нужно будет подождать, если не платить? (Примерно? Опять же по вашему опыту создания дешифраторов?)
Если у вас есть возможность подождать месяца 2-3, то лучше пока подождать.
Спасибо! К сожалению, столько ждать не представляется возможным.
Если надумаете покупать дешифратор у злодеев, по возможности просим Вас поделиться им
Обязательно.
Всё-таки решили не платить и подождать. Каким образом я смогу узнать о появлении дешифратора?
2-3 месяца... Это вряд ли даже минимально возможный срок ожидания. Ваше право, ожидайте.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\vovremya\appdata\local\17375\a30104.exe - [B]not-a-virus:AdWare.Win32.Amonetize.ecy[/B] ( DrWEB: Adware.Downware.8630, BitDefender: Trojan.GenericKD.1877123 )[*] c:\windows\system32\drivers\nethfdrv.sys - [B]Trojan-Downloader.Win64.Adload.a[/B] ( DrWEB: Tool.NetFilter.1, BitDefender: Adware.SwiftBrowse.AJ )[*] c:\windows\system32\hfnapi.dll - [B]Trojan-Downloader.Win32.Agent.heqj[/B] ( DrWEB: Trojan.DownLoader11.19028, BitDefender: Gen:Variant.Adware.Netfilter.2, AVAST4: Win32:Agent-AVTY [Trj] )[*] c:\windows\system32\hfpapi.dll - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: Tool.NetFilter.2, BitDefender: Gen:Variant.Adware.Netfilter.2, AVAST4: Win32:GenMaliciousA-FVF [Adw] )[*] c:\windows\system32\netupdsrv.exe - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: BackDoor.Siggen.57756, BitDefender: Gen:Variant.Adware.Netfilter.2, AVAST4: Win32:GenMaliciousA-FVF [Adw] )[*] c:\windows\syswow64\hfnapi.dll - [B]Trojan-Downloader.Win32.Agent.heqj[/B] ( DrWEB: Trojan.DownLoader11.19028, BitDefender: Gen:Variant.Adware.Netfilter.2, AVAST4: Win32:Agent-AVTY [Trj] )[*] c:\windows\syswow64\hfpapi.dll - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: Tool.NetFilter.2, BitDefender: Gen:Variant.Adware.Netfilter.2, AVAST4: Win32:GenMaliciousA-FVF [Adw] )[*] c:\windows\syswow64\netupdsrv.exe - [B]not-a-virus:HEUR:RiskTool.Win32.NetFilter.heur[/B] ( DrWEB: BackDoor.Siggen.57756, BitDefender: Gen:Variant.Adware.Netfilter.2, AVAST4: Win32:GenMaliciousA-FVF [Adw] )[/LIST][/LIST]