Здравствуйте,
Собственно говоря, обнаружил свои файлы зашифрованными шифровальшиком - backspace@riseup с требованием денег.
Необходимые логи прилагаю.
Жду Ваших комментариев.
Здравствуйте,
Собственно говоря, обнаружил свои файлы зашифрованными шифровальшиком - backspace@riseup с требованием денег.
Необходимые логи прилагаю.
Жду Ваших комментариев.
Уважаемый(ая) Vetal_S, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Vetal\AppData\Local\Temp\avqnm.exe',''); QuarantineFile('C:\Users\Vetal\AppData\Local\Microsoft\Windows\winupdate.exe',''); QuarantineFile('C:\Users\Vetal\AppData\Local\Google\Update\gupdate.exe',''); TerminateProcessByName('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe'); QuarantineFile('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe',''); DeleteFile('c:\users\vetal\appdata\local\nvidia corporation\update\daemonupd.exe','32'); DeleteFile('C:\Users\Vetal\AppData\Local\Google\Update\gupdate.exe','32'); DeleteFile('C:\Users\Vetal\AppData\Local\Microsoft\Windows\winupdate.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService'); DeleteFile('C:\Users\Vetal\AppData\Local\Temp\avqnm.exe','32'); DeleteFile('C:\Windows\Tasks\0wfw0.job','32'); DeleteFile('C:\Windows\system32\Tasks\0wfw0','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день,
Запустил скрипт, поспешил делать логи, не выслав карантин. После создания всех логов запустил скрипт ещё раз для создания крантина, который и загрузил к теме. Не знаю на сколько это важно, но порядок немного нарушил.
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Лог прилагаю.
Удалите в МВАМ только указанные ниже записиКод:Registry Keys Detected: 5 HKCR\CLSID\{fe5b2d9d-91b0-b04b-ac20-14a260769687} (Adware.ColorSoft) -> No action taken. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\6-Ob-Qig73_ (Adware.Adrotator) -> No action taken. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{416c2185-c94b-bb75-55af-9faafeb3647e} (Adware.Adrotator) -> No action taken. HKCR\CLSID\{416c2185-c94b-bb75-55af-9faafeb3647e} (Adware.Adrotator) -> No action taken. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{416C2185-C94B-BB75-55AF-9FAAFEB3647E} (Adware.Adrotator) -> No action taken. Registry Values Detected: 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings|AutoConfigURL (Hijack.Autoconfig) -> Data: https://erterra.com/images/imglist.ebg -> No action taken. Files Detected: 21 C:\Downloads\Programs\Kracnodap.exe (PUP.SmsPay) -> No action taken. C:\Users\Vetal\AppData\Local\Temp\00+L6nwt.exe.part (PUP.Optional.4Shared) -> No action taken. C:\Users\Vetal\AppData\Local\Temp\234.exe (Trojan.Agent.EDNS) -> No action taken. C:\Users\Vetal\AppData\Local\Temp\f5Xbl83S.exe.part (PUP.Optional.4Shared) -> No action taken. C:\Users\Vetal\AppData\Local\Temp\312.exe (Trojan.CryptoLocker) -> No action taken. C:\Users\Vetal\AppData\Local\Temp\325.exe (Trojan.Agent.EDTT) -> No action taken. C:\Users\Vetal\AppData\Local\Temp\setupv.exe (Adware.Bundle) -> No action taken. C:\Windows\System32\C-vDDsn-U7B8_.dll (Adware.Adrotator) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Файлов:
C:\Users\Vetal\AppData\Local\Temp\312.exe (Trojan.CryptoLocker) -> No action taken.
C:\Users\Vetal\AppData\Local\Temp\325.exe (Trojan.Agent.EDTT) -> No action taken.
при повторном сканировании в списке для удаления не оказалось, все остальные удалил, как написали.
Затем, выполнил полную проверку снова, лог прилагаю.
Порядок
Дешифратором пока никто не поделился
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Жёстко. Не ожидал такой развязки. Интересно, ни одних "шифровальщиков" ещё не поймали за одно место?
Я знаю, у Вас много работы, но можно уточнить, чтобы я понимал, чего мы добились на моём компьютере, путём выполненных в этой теме манипуляций? Это было как-то свяано с шифровальшиком?
Да, при перезагрузке у меня автоматически загружается Фотошом, где открывается эта идиотская картинка с требованием денег, с эти можно что-нибудь сделать?
Последний раз редактировалось Vetal_S; 12.12.2013 в 21:19.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Vetal_S, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.