Всем доброго здравия!
Очередная проблема прочтения тех писем, которые надо сразу удалять.
Пришло письмо, не разобравшись его прочитали и открыли вложение. Результат - все офисные документы накрылись медным тазом.
К сожалению, Dr.Web атаку пропустил. Интерактивное лечение удалило порядка полусотни заражённых объектов, но документы это не вернуло.
Уважаемые хелперы, помогите вернуть утраченное!
Результаты сканирования прилагаются.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Jim7nvkz, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Прошу прощения, но я чего-то недопонимаю: я создал это сообщение, руководствуясь инструкцией. Выполнил все действия, описанные там: зарегистрировался, скачал утилиты, запустил, получил лог, создал тему в форуме, прикрепил полученные результаты и отправил.
И что получил? А получил ответ, что "Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.". Зайдя по ссылке вижу туже самую инструкцию, по которой я всё и делал!!!
Уважаемые!!! Поясните - в каком месте я туплю?
Потому чтоСообщение от Jim7nvkz
В актуальной версии есть механизмы, позволяющие обезопасить от последствий даже неизвестных шифровальщиков.Dr.Web anti-virus for Windows 5.0
Потому что
где нет возможности делать теневые копии пользовательских файлов. И пользователь, наверняка, с правами администратора работает.Windows XP Service Pack 3
Приложите пример зашифрованного файла в архиве и сообщение вымогателя приведите. Надежд на восстановление документов, скорее всего, мало, большинство современных шифровальщиков используют алгоритмы, которые невозможно взломать за приемлемое время.
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\apnmcp.exe'); TerminateProcessByName('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe'); StopService('APNMCP'); QuarantineFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe', ''); QuarantineFile('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe', ''); QuarantineFile('C:\Documents and Settings\Вагиз Н.Галимзянов\Application Data\lsass.exe', ''); QuarantineFile('C:\WINDOWS\Temp\taskhost.exe', ''); DeleteFile('c:\program files\askpartnernetwork\toolbar\apnmcp.exe', '32'); DeleteFile('c:\program files\askpartnernetwork\toolbar\updater\tbnotifier.exe', '32'); DeleteFile('C:\Documents and Settings\Вагиз Н.Галимзянов\Application Data\lsass.exe', '32'); DeleteFile('C:\WINDOWS\Temp\taskhost.exe', '32'); DeleteService('APNMCP'); DeleteFileMask('c:\program files\askpartnernetwork', '*', true); DeleteDirectory('c:\program files\askpartnernetwork'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ApnTBMon'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon', 'command'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SberSign TestHash', 'command'); RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Task Host'); RegKeyParamDel('HKEY_USERS', 'S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Task Host'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
И снова здравствуйте!
Файл со сканированными данными был отправлен через форму, как по инструкции.
Файлы FRST и Addition в прикреплённом архиве. frst.zip
Надеюсь, что всё получится.
Это сделайте.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\askpartnernetwork\toolbar\apnmcp.exe - not-a-virus:WebToolbar.Win32.Asparnet.lx
- c:\program files\askpartnernetwork\toolbar\updater\tbnotifier .exe - not-a-virus:WebToolbar.Win32.Asparnet.lx
Уважаемый(ая) Jim7nvkz, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
