Файлы зашифрованы [email protected] 1.2.0.0.id..........cbf [not-a-virus:Downloader.Win32.DownloadHelper.dcx ]

[videorimaker]

Здравствуйте, как я понимаю уже хорошо знакомая для вас проблема, пришло письмо..............
Секретарь очень исполнительно открыла его...............
Самое обидное, что приобретен и установлен КАV великий и ужасный.
Только вот не нравилось ей, что тормозит работу он и приостановила его работу...
Как следствие все, что только могло перекодировалось в
aol.com.ver-CL 1.2.0.0.id-WAEHLOSWZCFJNQTWADGKNQTXADGKNQTXADGL-20.01.2016 8@[email protected] (как пример)
Может сможете помочь ?
В любом случае спасибо.

____________________________________________
Чуть не забыл. У меня осталось то самое письмо с линком туда, откуда пришла беда, если это имеет значение могу
прислать.

[Info_bot]

Уважаемый(ая) videorimaker, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[videorimaker]

2 Info_bot
Логи прикреплены к "телу" просьбы, но если нужно могу повторить.
И раз такое дело, то не проще ли...
------------------------------------------------
ВНИМАНИЕ !!!!!
НЕ ЗАПУСКАТЬ ЭТОТ ЛИНК !!!
ИМЕННО ОН - ПРИЧИНА МОЕЙ БЕДЫ !!!
[удалено]

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[videorimaker]

2 thyrex ...
Боже, а я то думал, что только касперский с головой не дружит.
На всякий случай продублирую ВСЁ включая безобидную жертву,
которая была то ли доком, толи жипегом при жизни
И скриншотом той самой якобы сомой самой и дорогущей
лицензии от KAV. сам кей файл не могу. Голову снимут и посадят.
P/S/ KAV сказал, что у него таких как Я воз и...
Короче... Ждите - Вам ответят...Был ответ,
-----------
Вам в любом случае спасибо
хотя бы за то, что взглянули,
Если я где и нахамил случайно
прошу простить.
нервы увы не продаются
какие есть.

[thyrex]

C:\Documents and Settings\Алеся\Local Settings\Temp\net.exe заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\...\Run: [ZaxarGameBrowser] => C:\Program Files\Zaxar\ZaxarGameBrowser.exe [2939392 2016-01-20] ()
HKLM\...\Run: [ZaxarLoader] => C:\Program Files\Zaxar\ZaxarLoader.exe [208856 2016-01-20] (Zaxar Ltd)
HKLM\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe [190976 2015-07-07] (Timetasks)
FF NetworkProxy: "backup.ftp", "192.168.1.10"
FF NetworkProxy: "backup.ftp_port", 3128
FF NetworkProxy: "backup.socks", "192.168.1.10"
FF NetworkProxy: "backup.socks_port", 3128
FF NetworkProxy: "backup.ssl", "192.168.1.10"
FF NetworkProxy: "backup.ssl_port", 3128
FF NetworkProxy: "ftp", "192.168.1.10"
FF NetworkProxy: "ftp_port", 3128
FF NetworkProxy: "http", "192.168.1.10"
FF NetworkProxy: "http_port", 3128
FF NetworkProxy: "share_proxy_settings", true
FF NetworkProxy: "socks", "192.168.1.10"
FF NetworkProxy: "socks_port", 3128
FF NetworkProxy: "ssl", "192.168.1.10"
FF NetworkProxy: "ssl_port", 3128
FF NetworkProxy: "type", 4
2016-01-20 16:56 - 2016-01-21 11:24 - 00000000 ____D C:\Program Files\Zaxar
2016-01-20 16:56 - 2016-01-20 16:56 - 00000523 _____ C:\Documents and Settings\All Users\Рабочий стол\ZaxarGameBrowser.lnk
2016-01-21 11:31 - 2016-01-21 11:31 - 00002511 _____ C:\Documents and Settings\Алеся\Рабочий стол\Амиго.Музыка.lnk
2016-01-21 11:31 - 2016-01-21 11:31 - 00000000 ____D C:\Documents and Settings\Алеся\Главное меню\Программы\Приложения Амиго
2016-01-21 11:25 - 2016-01-21 11:25 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\ZaxarGameBrowser
2016-01-21 11:25 - 2016-01-21 11:25 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\Content Defender
2016-01-20 17:00 - 2016-01-21 11:24 - 00000000 ____D C:\Documents and Settings\Алеся\Local Settings\Application Data\Amigo
2016-01-20 17:00 - 2016-01-20 17:00 - 00002161 _____ C:\Documents and Settings\Алеся\Главное меню\Программы\Интернет.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002155 _____ C:\Documents and Settings\Алеся\Рабочий стол\Интернет.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002138 _____ C:\Documents and Settings\Алеся\Главное меню\Программы\Одноклассники.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002138 _____ C:\Documents and Settings\Алеся\Главное меню\Программы\Вконтакте.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002132 _____ C:\Documents and Settings\Алеся\Рабочий стол\Одноклассники.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002132 _____ C:\Documents and Settings\Алеся\Рабочий стол\Вконтакте.lnk
2016-01-20 16:57 - 2016-01-21 11:24 - 00000000 ____D C:\Program Files\Content Defender
2016-01-20 16:57 - 2016-01-20 16:57 - 00000211 _____ C:\Documents and Settings\Алеся\Рабочий стол\Искать в Интернете.url
2016-01-20 16:57 - 2015-12-11 22:34 - 00056368 _____ (Artex Management S. A.) C:\WINDOWS\system32\Drivers\condef.sys
2016-01-20 08:12 - 2016-01-20 09:15 - 00000080 _____ C:\Program Files\CUSGWRNNNQ.ZMV
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[videorimaker]

C:\Documents and Settings\Алеся\Local Settings\Temp\net.exe заархивируйте с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\...\Run: [ZaxarGameBrowser] => C:\Program Files\Zaxar\ZaxarGameBrowser.exe [2939392 2016-01-20] ()
HKLM\...\Run: [ZaxarLoader] => C:\Program Files\Zaxar\ZaxarLoader.exe [208856 2016-01-20] (Zaxar Ltd)
HKLM\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe [190976 2015-07-07] (Timetasks)
FF NetworkProxy: "backup.ftp", "192.168.1.10"
FF NetworkProxy: "backup.ftp_port", 3128
FF NetworkProxy: "backup.socks", "192.168.1.10"
FF NetworkProxy: "backup.socks_port", 3128
FF NetworkProxy: "backup.ssl", "192.168.1.10"
FF NetworkProxy: "backup.ssl_port", 3128
FF NetworkProxy: "ftp", "192.168.1.10"
FF NetworkProxy: "ftp_port", 3128
FF NetworkProxy: "http", "192.168.1.10"
FF NetworkProxy: "http_port", 3128
FF NetworkProxy: "share_proxy_settings", true
FF NetworkProxy: "socks", "192.168.1.10"
FF NetworkProxy: "socks_port", 3128
FF NetworkProxy: "ssl", "192.168.1.10"
FF NetworkProxy: "ssl_port", 3128
FF NetworkProxy: "type", 4
2016-01-20 16:56 - 2016-01-21 11:24 - 00000000 ____D C:\Program Files\Zaxar
2016-01-20 16:56 - 2016-01-20 16:56 - 00000523 _____ C:\Documents and Settings\All Users\Рабочий стол\ZaxarGameBrowser.lnk
2016-01-21 11:31 - 2016-01-21 11:31 - 00002511 _____ C:\Documents and Settings\Алеся\Рабочий стол\Амиго.Музыка.lnk
2016-01-21 11:31 - 2016-01-21 11:31 - 00000000 ____D C:\Documents and Settings\Алеся\Главное меню\Программы\Приложения Амиго
2016-01-21 11:25 - 2016-01-21 11:25 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\ZaxarGameBrowser
2016-01-21 11:25 - 2016-01-21 11:25 - 00000000 ____D C:\Documents and Settings\All Users\Главное меню\Программы\Content Defender
2016-01-20 17:00 - 2016-01-21 11:24 - 00000000 ____D C:\Documents and Settings\Алеся\Local Settings\Application Data\Amigo
2016-01-20 17:00 - 2016-01-20 17:00 - 00002161 _____ C:\Documents and Settings\Алеся\Главное меню\Программы\Интернет.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002155 _____ C:\Documents and Settings\Алеся\Рабочий стол\Интернет.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002138 _____ C:\Documents and Settings\Алеся\Главное меню\Программы\Одноклассники.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002138 _____ C:\Documents and Settings\Алеся\Главное меню\Программы\Вконтакте.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002132 _____ C:\Documents and Settings\Алеся\Рабочий стол\Одноклассники.lnk
2016-01-20 17:00 - 2016-01-20 17:00 - 00002132 _____ C:\Documents and Settings\Алеся\Рабочий стол\Вконтакте.lnk
2016-01-20 16:57 - 2016-01-21 11:24 - 00000000 ____D C:\Program Files\Content Defender
2016-01-20 16:57 - 2016-01-20 16:57 - 00000211 _____ C:\Documents and Settings\Алеся\Рабочий стол\Искать в Интернете.url
2016-01-20 16:57 - 2015-12-11 22:34 - 00056368 _____ (Artex Management S. A.) C:\WINDOWS\system32\Drivers\condef.sys
2016-01-20 08:12 - 2016-01-20 09:15 - 00000080 _____ C:\Program Files\CUSGWRNNNQ.ZMV
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

Сделал. Не понятно только загрузился ли в запрошенный карантин net он толстый 50Мв...

[thyrex]

Не загрузился. Если он такого огромного размера, то пытаться присылать больше не нужно

С расшифровкой не поможем

[videorimaker]

А чего еще можно было ожидать ? Это ведь инсталятор 4-го фрейм нетворка. Я даже удивился, что попросили его прислать.
Жаль, что дело - швах.
Спасибо, что попробовали.
Если будут идей, то не в форуме, а в ЛС или е-мейлом буду рад увидеть.

- - - - -Добавлено - - - - -

P/S/
Возожно это уже лишнее, но ... успел сделать один скриншот, пока изображение сбрасывалось.
заглянул туда и нашел один, возможно интересный файл (исполняемый и пару html'ов к нему в придачу).
Прилагать в сообщении не стану. отправлю через Запрошенный карантин.
Вируса в нем - уже нет, но на всякий случай.
И... Мои извинения KAV великому и ужасному. Но на своем домашнем компе TrendMicro с полноценной поддержкой из разряда ничего личного, но ... кому то будет плохо. мне намного милее. Как только разгребусь с этой проблемой
к нему и вернусь

- - - - -Добавлено - - - - -

Жаль, что у меня нет того профессионализма как у Энди из Гонолулу или Вадика из Чикаго
Но ответьте мне... ПОЧЕМУ заразив себя той дрянью нашл если и не декриптор, то по крайней
мере без него сумел увидеть некоторые части пары файлов. И это - не везение, просто не успел забыть
HEX и все к этому прилагаемое.Я не програмист. Только его и 8086x ассемблер слегка помню.
Видимый результат - использование hiew в режиме дисассемблера воспроизведенный в фаре.
Так возьметесь ???

- - - - -Добавлено - - - - -

Мне бы только помогли с точкой входа.
Когда был com всё было предельно ясно 100h как ни крути, потом exe, где от 130h и.т.д.
Теперь вообще Х.З. Да и куда подевались нормальные вирусы из разряда DIR
чем дальше - тем больше?
[quote name='thyrex' date='24.01.2016 21:04' post='2538164']
Вы зашифруете свой компьютер и ничем не поможете для расшифровки.
[/quote]
Да это же простая математика.
Кроме того есть подозрения, что Вам все таки стоит посмотреть один скрин
моего видения пролемы. Важен хвост файла, а не его точка входа все таки.
Предпросмотр простого дисасембла по адресу:
http://virusinfo.info/showthread.php...68#post1352368
Простите. Я пока только не разобрался с тем как поменять местами
точку входа и окончания файла - остальное - привнесенное фуфло
на которое все покупаются. даже Вы.
Исходя из теории здравого смысла как по Вашему мог самый злой вирус
за пару минут закриптовать содержимое размером в терабайт.
Ответ - никак, а вот переименовать и заодно поменять хвост файла с головой
Запросто. Вопрос в том как их обратно поменять их местами. Повторюсь.
http://virusinfo.info/showthread.php...68#post1352368
P/S/ [email protected] лучше туда (предложения,пожелания,угрозы)

[thyrex]

Не нужно считать себя умнее других, а уж тем более умнее тех, кто Вам отвечает.

Ответ я Вам дал на форуме Лаборатории Касперского. Тема закрывается и здесь, и на форуме Лаборатории Касперского.
Можете приступать к тому занятию, которым посоветовали (в ЛС) заняться мне. Ибо грош цена Вам, как администратору.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. \email-iizomer-aol.com.ver-cl-1.2.0.0.id-kak-rasshifrovat.exe - not-a-virus:Downloader.Win32.DownloadHelper.dcx ( DrWEB: Trojan.Zadved.239 )