Доброго времени суток. Поймал какой-то вирус, который зашифровал мне все графические и текстовый файлы. Не знаю что с ним делать, дешифровщики касперского не помогли. И при этом на рабочем столе висел какой-то баннер с тикающими часами, нашел файл, который это запускал, назывался он pyeltab.exe, после его удаления баннер перестал появляться, но на данный момент все файлы не читаемы. Плюс на рабочем столе стоит картинка (не стал ее менять на всякий случай) такого плана. 1.jpgПожалуйста помогите!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Федор Королев, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\ProgramData\Quicktime 8.5.1\bjrwzmzis.exe',''); QuarantineFile('C:\Users\fed\AppData\Local\Temp\pyeltab.exe',''); QuarantineFile('C:\Program Files (x86)\Microsoft Data\nsi.exe',''); DeleteService('nethfdrv'); QuarantineFile('C:\Windows\system32\drivers\nethfdrv.sys',''); DeleteFile('C:\Windows\system32\drivers\nethfdrv.sys','32'); DeleteFile('C:\Program Files (x86)\Microsoft Data\nsi.exe','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64'); DeleteFile('C:\Users\fed\AppData\Local\Temp\pyeltab.exe','32'); DeleteFile('C:\Windows\system32\Tasks\pwkyyjf','64'); DeleteFile('C:\ProgramData\Quicktime 8.5.1\bjrwzmzis.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Windows Update Check - 0x03C40151','64'); ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)Код:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411328094&from=amt&uid=HGSTXHTS725050A7E630_TF0501WH1AM6RR1AM6RRX R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411328094&from=amt&uid=HGSTXHTS725050A7E630_TF0501WH1AM6RR1AM6RRX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1411328094&from=amt&uid=HGSTXHTS725050A7E630_TF0501WH1AM6RR1AM6RRX R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1411328094&from=amt&uid=HGSTXHTS725050A7E630_TF0501WH1AM6RR1AM6RRX&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1411328094&from=amt&uid=HGSTXHTS725050A7E630_TF0501WH1AM6RR1AM6RRX&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1411328094&from=amt&uid=HGSTXHTS725050A7E630_TF0501WH1AM6RR1AM6RRX O18 - Protocol: skypec2c - {91774881-D725-4E58-B298-07617B9B86A8} - (no file)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Сделал
Удалите в MBAM все, кроме:
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.Код:Обнаруженные файлы: C:\Users\fed\AppData\Roaming\rmi\daemon-tools-4.48.1.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. E:\Users\fed\Desktop\муз\софт(пароль 1111)\софт(пароль 1111)\софт(пароль 1111)\Правильный базис\b8.estimate.patch.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято. E:\Users\fed\Downloads\DTLite4491-0356.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. E:\Фото_Картинки\самый старый ноут\Doc\InstAll\Audiograbber.exe (Trojan.Dropped) -> Действие не было предпринято.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
есть
Логи в порядке. С расшифровкой не поможем.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\quicktime 8.5.1\bjrwzmzis.exe - Trojan.Win32.Neurevt.aum ( BitDefender: Gen:Variant.Graftor.157667 )
Уважаемый(ая) Федор Королев, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
