Добрый день! Помогите, пожалуйста!
Вирус зашифровал текстовые, фото и видеофайлы.
пример зараженного файла [B][COLOR=#3C763D]http://my-files.ru/cnfefn[/COLOR][/B]
Printable View
Добрый день! Помогите, пожалуйста!
Вирус зашифровал текстовые, фото и видеофайлы.
пример зараженного файла [B][COLOR=#3C763D]http://my-files.ru/cnfefn[/COLOR][/B]
Уважаемый(ая) [B]mag-i-ya[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
Где логи согласно правилам?
[QUOTE=Info_bot;1370779]Уважаемый(ая) [B]mag-i-ya[/B],
Для оказания помощи необходимо предоставить логи сканирования утилитами AVZ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[/QUOTE]
Удалите eTranslator через установку программ в панели управления.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1617462772-1297547355-346842971-1001\...\Run: [eTranslator Automatic Update] => "C:\Users\Andrey\AppData\Roaming\eTranslator\eTranslator.exe" -checkforupdates
HKU\S-1-5-21-1617462772-1297547355-346842971-1001\...\Run: [tyhjgaoygu] => explorer "hxxp://khumbatu.ru/?utm_source=uoua03&utm_content=c8e6202e20bbcb65d1e84bfc5bad2720&utm_term=5AFE969C2296EB6B6460EA81F35771DC" <===== ATTENTION
HKU\S-1-5-21-1617462772-1297547355-346842971-1001\...\MountPoints2: {aa408737-d422-11e5-856c-101f74ee10c4} - "H:\WD SmartWare.exe" autoplay=true
HKU\S-1-5-21-1617462772-1297547355-346842971-1001\...\MountPoints2: {bce6437e-b0a4-11e5-b90b-101f74ee10c4} - G:\Autorun.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShortcutTarget: _uninst_99070924.lnk -> C:\Users\007\AppData\Local\Temp\_uninst_99070924.bat (No File)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search-results.com/sr?src=ieb&appid=362&systemid=406&sr=0&q={searchTerms}
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartabhost.dll No File
Toolbar: HKU\S-1-5-21-1617462772-1297547355-346842971-1001 -> No Name - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No File
Toolbar: HKU\S-1-5-21-1617462772-1297547355-346842971-1005 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.istartpageing.com/?type=sc&ts=1448739905&z=05d75ee4303f5f32252f80bg2zcz1b1m2cetft9gaz&from=tugss&uid=HitachiXHTS547564A9E384_J2180053CPNW6CCPNW6CX
Folder: C:\Users\Public\Speedup Sessions
2016-02-19 18:01 - 2016-02-19 18:01 - 03148854 _____ C:\Users\Andrey\AppData\Roaming\E05D7E01E05D7E01.bmp
2016-02-19 12:49 - 2016-02-19 22:41 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-02-19 12:49 - 2016-02-19 22:41 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Andrey\AppData\Local\Temp\amigo_tmp.exe
C:\Users\Andrey\AppData\Local\Temp\BundleSweetIMSetup.exe
C:\Users\Andrey\AppData\Local\Temp\Delta.exe
C:\Users\Andrey\AppData\Local\Temp\DeltaTB.exe
C:\Users\Andrey\AppData\Local\Temp\downloader.exe
C:\Users\Andrey\AppData\Local\Temp\FNP_ACT_InstallerCA.dll
C:\Users\Andrey\AppData\Local\Temp\hamsterarc_v.3.0.0.86_hfza_upd_1.exe
C:\Users\Andrey\AppData\Local\Temp\hEoVe1HjkN03.exe
C:\Users\Andrey\AppData\Local\Temp\MybabylonTB.exe
C:\Users\Andrey\AppData\Local\Temp\OzhCcohT8C01.exe
C:\Users\Andrey\AppData\Local\Temp\Setup-punto.exe
C:\Users\Andrey\AppData\Local\Temp\SkypeSetup.exe
C:\Users\Andrey\AppData\Local\Temp\ss0KJShdsKB3.exe
C:\Users\Andrey\AppData\Local\Temp\WamSfLMOppG6.exe
C:\Users\Andrey\AppData\Local\Temp\WSSetup.exe
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{B77E471C-FBF3-4CB5-880F-D7528AD4B349}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acadficn.dll => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{083C82AE-568E-45dd-A92C-01422CA45760}\InprocServer32 -> C:\Program Files\Autodesk\Revit Architecture 2013\Program\APIContext.dll => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{B77E471C-FBF3-4CB5-880F-D7528AD4B349}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe /Automation => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acad.exe => No File
CustomCLSID: HKU\S-1-5-21-1617462772-1297547355-346842971-1005_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD Architecture 2012\acadficn.dll => No File
Shortcut: C:\Users\007\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_99070924.lnk -> C:\Users\007\AppData\Local\Temp\_uninst_99070924.bat (No File)
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Благодарю!
eTranslator через установку программ в панели управления не нашла.
Утилита FRST отработала полностью. Лог-файл прилагаю.
Логи сканирования утилитами AVZ и HiJackThis сделаю и приложу в ближайшее время.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Логи
AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE','');
QuarantineFile('C:\Users\007\AppData\Roaming\istartpageing\UninstallManager.exe','');
DeleteFile('C:\PROGRA~2\SEARCH~1\Datamngr\DATAMN~1.EXE','32');
DeleteFile('C:\Users\007\AppData\Roaming\istartpageing\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{1055F4FF-4DD6-4B7F-9414-9F3B77B5BB30}','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DATAMNGR','command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.
Задание выполнено )))
Карантин через форму загрузить не получилось. Пишет, что файл уже был загружен. Поэтому выложила его на файлообменник: [url]http://my-files.ru/xdkw3t[/url]
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Сделано)))
[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
[QUOTE=SQ;1372112][url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.[/QUOTE]
Простите! А чем это будет отличаться от того, что уже было сделано по предыдущему Вашему сообщению :> ?
[QUOTE=mag-i-ya;1372461]Простите! А чем это будет отличаться от того, что уже было сделано по предыдущему Вашему сообщению :> ?[/QUOTE]
Вы предоставили не тот лог, поэтому попросил заново это выполнить, в итоге у Вас должен быть лог вида [B]AdwCleaner[С*].txt [/B], где * - число от 1 до 9.
[QUOTE=SQ;1372469]в итоге у Вас должен быть лог вида [B]AdwCleaner[С*].txt [/B], где * - число от 1 до 9.[/QUOTE]
Кажется, получилось )))
Предоставьте новый лог утилиты FRST.
[QUOTE=SQ;1372707]Предоставьте новый лог утилиты FRST.[/QUOTE]
готово...
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKLM-x32 - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files (x86)\Yandex\Elements\bartabhost.dll No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR Extension: (No Name) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\bpgangmffjcofiknibcmfjionicohfgj [2015-11-20]
CHR Extension: (No Name) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2015-02-06]
CHR Extension: (No Name) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnooffjhclkocplopffdbcdghmiffhji [2015-07-16]
OPR Extension: (No Name) - C:\Users\Andrey\AppData\Roaming\Opera Software\Opera Stable\Extensions\djflhoibgkdhkhhcedjiklpkjnoahfmg [2015-07-16]
File: C:\Windows\SysWOW64\dlumd10.dll
File: C:\Windows\SysWOW64\dlumd11.dll
File: C:\Windows\SysWOW64\dlumd9.dll
File: C:\Windows\System32\dlumd10.dll
File: C:\Windows\System32\dlumd11.dll
File: C:\Windows\System32\dlumd9.dll
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, сервер будет [b]перезагружен[/b].[/LIST]
Простите :blush:!
Сегодня без помощников, своими силами... вот и прикрепила, что придудумала-поняла :D)))
К сожалению, с расшифровкой не поможем.
P.S. Важно: До тех пор пока не решите вопрос с расшифровкой [B]не удаляйте [/B]каталог [B]C:\FRST\Quarantine[/B].
[QUOTE=SQ;1373639]К сожалению, с расшифровкой не поможем.
P.S. Важно: До тех пор пока не решите вопрос с расшифровкой [B]не удаляйте [/B]каталог [B]C:\FRST\Quarantine[/B].[/QUOTE]
Подскажите, пожалуйста, по некоторым вопросам:
1. Почему не можете помочь?
2. Это сложный случай или смертельный?
3. Возможна ли расшифровка через сервис "помощь+"?
4. Можно ли этот каталог [B]C:\FRST\Quarantine[/B] сохранить на съемном диске вместе с поврежденными файлами?
5. Как поступить с зашифрованными файлами?
>1. Почему не можете помочь?
На данный момент данный тип шифровальщика не подается нашими силами к дешифровки данных.
>2. Это сложный случай или смертельный?
один из сложныйх случаев.
>3. Возможна ли расшифровка через сервис "помощь+"?
Нет, если была бы возможность Вам сообщили бы.
>4. Можно ли этот каталог C:\FRST\Quarantine сохранить на съемном диске вместе с поврежденными файлами?
В карантине находяться инструкции для связи с злоумышлинниками и сами вредоносные приложения.
>5. Как поступить с зашифрованными файлами?
По возможности сделайте резервную копию, так как время не стоит на месте возможно в скором будущем поможем с расшифровкой, но опятьже обещать ничего не можем.
P.S. Если у Вас есть лицензия на продукты Лаборатории Касперского, то можете попробовать создать запрос на помощь по расшифровки данных. Но опять же гарантий не каких нет.
[QUOTE=SQ;1373898]
>4. Можно ли этот каталог C:\FRST\Quarantine сохранить на съемном диске вместе с поврежденными файлами?
В карантине находяться инструкции для связи с злоумышлинниками и сами вредоносные приложения.
[/QUOTE]
Можно уточнить?
Поврежденные файлы я сейчас скидываю на съемный диск.
С ними нужно скопировать папку FRST с диска С, правильно?
[QUOTE=SQ;1373898]...время не стоит на месте возможно в скором будущем поможем с расшифровкой, но опятьже обещать ничего не можем.[/QUOTE]
Как выглядит повторное обращение с тем же вопросом? В этой же теме или нужно будет создавать новую?
И через сколько времени посоветуете снова обращаться?
[QUOTE=mag-i-ya;1375209]Можно уточнить?
Поврежденные файлы я сейчас скидываю на съемный диск.
С ними нужно скопировать папку FRST с диска С, правильно?[/QUOTE]
Да
[QUOTE=mag-i-ya;1375209]
Как выглядит повторное обращение с тем же вопросом? В этой же теме или нужно будет создавать новую?
И через сколько времени посоветуете снова обращаться?[/QUOTE]
К сожалению по срокам сказать ничего не могу.
P.S. если увидете на форуме удачный случай с расшифровкой нашими силали с better call saul, то можете обращаться.