Показано с 1 по 6 из 6.

Файлы зашифрованы (заявка № 157036)

  1. #1
    Junior Member Репутация
    Регистрация
    20.03.2014
    Сообщений
    2
    Вес репутации
    14

    Файлы зашифрованы

    Собственно на днях был пойман вирус который зашифровал некоторые очень важные файлы. Заранее благодарен за помощь
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) mentle, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;
     ClearQuarantine;
     QuarantineFile('C:\Program Files\Astral\AstralReport\mercuryTray.exe','');
     QuarantineFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','');
     DeleteFile('C:\PROGRA~1\SupTab\SEARCH~1.DLL','32');
     DeleteFile('C:\WINDOWS\Tasks\At1.job','32');  
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;   
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите в HiJackThis (некоторые строки могут отсутствовать).

    Код:
    O4 - S-1-5-21-1757981266-651377827-682003330-1010 Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'buh')
    O4 - S-1-5-21-1757981266-651377827-682003330-1010 User Startup: КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt (User 'buh')
    O20 - AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL
    1. Загрузите GMER по одной из указанных ссылок:
      Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
    2. Временно отключите драйверы эмуляторов дисков.
    3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
    4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
    5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

      • Sections
      • IAT/EAT
      • Show all
    6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
    7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
    8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".


    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    20.03.2014
    Сообщений
    2
    Вес репутации
    14
    Прикрепляю запрошенные файлы
    Вложения Вложения
    Последний раз редактировалось thyrex; 21.03.2014 в 22:35.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    1. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    QuarantineFile('C:\Documents and Settings\buh\Local Settings\Temp\i29VeUIM5nlNoYS.exe','');
    QuarantineFile('C:\Documents and Settings\buh\Рабочий стол\1024.exe','');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    2. В MBAM удалите все кроме:

    Код:
    Обнаруженные процессы в памяти:
    C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> 412 -> Действие не было предпринято.
    
    Обнаруженные файлы:
    C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
    C:\Documents and Settings\Admin\Application Data\SupTab\SupTab.dll (PUP.Optional.SupTab.A) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\Multi_Password_Recovery\MPR.exe (Malware.Packer.T) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\IcoFX\IcoFX.exe (Backdoor.IRCbot) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\sp41\Thinstall\Сократ Персональный 4.1\4000002b00002i\SPE.exe (Rootkit.Dropper) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\sp41\Thinstall\Сократ Персональный 4.1\4000008800002i\spv.exe (Rootkit.Dropper) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\Coyote\Coyote.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\CrackDown\CrackDown.exe (CrackTool.Agent) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\SAMInside\SAMInside.exe (PUP.SAMInside) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\SAMInside\Tools\GetHashes.exe (PUP.SAMInside) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\SAMInside\Tools\GetSyskey.exe (PUP.SAMInside) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\SAMInside\Tools\LRConvert.exe (PUP.SAMInside) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\SBListExtr\SBListHook.dll (Malware.Packer.Gen) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\SFX Tool\GUI_7zS.exe (Trojan.KillAV) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\Louderit\LConfig.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Total Commander PowerUser v45\Programm\DrWeb\!install.exe (Trojan.StartPage.SMR) -> Действие не было предпринято.
    D:\Installer\Programm\AdbeRdr705_rus_lite.exe (Trojan.Dropped) -> Действие не было предпринято.
    D:\Installer\Programm\Remote Control\keymaker.exe (RiskWare.Tool.HCK) -> Действие не было предпринято.
    D:\Installer\Programm\System\TS-Free-1.1_cs.zip (PUP.Hacktool) -> Действие не было предпринято.
    D:\Installer\Programm\System\Activators\other\mini-KMS_Activator_v1.072.rar (PUP.Hacktool) -> Действие не было предпринято.
    D:\Installer\Programm\System\Activators\other\Windows_Loader_v1.9.7.zip (Hacktool.Agent) -> Действие не было предпринято.
    D:\Installer\Programm\System\Activators\other\Windows_Loader_v1.9.7\Windows Loader\Windows Loader.exe (Hacktool.Agent) -> Действие не было предпринято.
    D:\Installer\Programm\System\Activators\other\Активатор\CW.eXe (Hacktool.ChewWGA) -> Действие не было предпринято.
    D:\Installer\Programm\System\Activators\other\Активатор\w7lxe-3010-ru-ru.exe (Riskware.Tool.CK) -> Действие не было предпринято.
    D:\Installer\Programm\System\Activators\Windows 7 Loader v2.1 (Daz)\Windows Loader.exe (Hacktool.Agent) -> Действие не было предпринято.
    D:\MyDocs\UPDFSetup.exe (PUP.Optional.InstallBrain) -> Действие не было предпринято.
    D:\MyDocs\Загрузки\Open OfficeSetup.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
    D:\MyDocs\Downloads\2010\mini_KMS_Activator_v1.2_Office2010_VL_RUS.exe (Riskware.Crk) -> Действие не было предпринято.
    3. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    4.
    1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
    2. Запустите файл TDSSKiller.exe.
    3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
    4. В процессе проверки могут быть обнаружены объекты двух типов:
      • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
      • подозрительные (тип вредоносного воздействия точно установить невозможно).
    5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
    6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
    7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
    8. Самостоятельно без указания консультанта ничего не удаляйте!!!
    9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
    10. Прикрепите лог утилиты к своему следующему сообщению
    По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
    Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
    Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) mentle, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Зашифрованы файлы
      От spbgenesis в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 19.10.2013, 09:13
    2. Ответов: 7
      Последнее сообщение: 22.07.2013, 18:36
    3. файлы в сетях паука ( зашифрованы файлы)
      От it_supp в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.03.2013, 16:33
    4. Ответов: 2
      Последнее сообщение: 06.02.2013, 09:28
    5. Ответов: 11
      Последнее сообщение: 10.11.2012, 15:44

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00164 seconds with 17 queries