Показано с 1 по 12 из 12.

Зашифрованы файлы paycrypt@gmail_com (заявка № 162003)

  1. #1
    Junior Member Репутация
    Регистрация
    25.06.2014
    Сообщений
    6
    Вес репутации
    13

    Зашифрованы файлы paycrypt@gmail_com

    На компьютере кто-то зашифровал файлы. В конце переименованных файлов добавлено расширение paycrypt@gmail_com. Требований пока никто не предъявлял, выкупа не просил.

    Очень нужна Ваша помощь.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,458
    Вес репутации
    342
    Уважаемый(ая) Archermann, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  5. #4
    Junior Member Репутация
    Регистрация
    25.06.2014
    Сообщений
    6
    Вес репутации
    13
    Цитата Сообщение от mike 1 Посмотреть сообщение
    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    Все сделал согласно инструкции

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Выполните скрипт в uVS:

    Код:
    ;uVS v3.82.5 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    OFFSGNSAVE
    breg
    
    delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CUI=UN23281638991097981&UM=1&CTID=CT2504091
    adddir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP
    adddir %SystemDrive%\PROGRAMDATA
    restart
    Компьютер перезагрузиться. Сделайте новый лог uVS.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  7. #6
    Junior Member Репутация
    Регистрация
    25.06.2014
    Сообщений
    6
    Вес репутации
    13

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ:

    Код:
    begin
    QuarantineFileF('C:\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP', '*.exe', false, ' ', 0, 0);
    QuarantineFileF('C:\PROGRAMDATA', '*.exe', false, ' ', 0, 0);
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  9. #8
    Junior Member Репутация
    Регистрация
    25.06.2014
    Сообщений
    6
    Вес репутации
    13
    Прикрепляю и карантин, т.к. по красной ссылке выдает ошибку.
    Вложения Вложения

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Код:
    Обнаруженные ключи в реестре:  9
    HKCR\CLSID\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Действие не было предпринято.
    HKCR\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC} (PUP.Optional.Conduit) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA14329E-9550-4989-B3F2-9732E92D17CC} (PUP.Optional.Conduit) -> Действие не было предпринято.
    HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Действие не было предпринято.
    HKCU\Software\AppDataLow\Software\PriceGong (PUP.Optional.PriceGong.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Vuze_Remote (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IECT2504091 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    
    Обнаруженные параметры в реестре:  9
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Параметры: ZзЎ—CЁK»Pбџ¶hђф -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Параметры: MyAshampoo Toolbar -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{A1E75A0E-4397-4BA8-BB50-E19FB66890F4} (PUP.Optional.Conduit) -> Параметры:  -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{BA14329E-9550-4989-B3F2-9732E92D17CC} (PUP.Optional.Conduit) -> Параметры: Vuze Remote Toolbar -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks|{BA14329E-9550-4989-B3F2-9732E92D17CC} (PUP.Optional.Conduit) -> Параметры:  -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{ba14329e-9550-4989-b3f2-9732e92d17cc} (PUP.Optional.VuzeRemoteTB.A) -> Параметры:  -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{ba14329e-9550-4989-b3f2-9732e92d17cc} (PUP.Optional.VuzeRemoteTB.A) -> Параметры:  -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|BackgroundContainer (PUP.Optional.Conduit) -> Параметры: "C:\Windows\SysWOW64\Rundll32.exe" "C:\Users\Администратор\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Параметры: C:\Windows\system32\regedit.exe -> Действие не было предпринято.
    
    Объекты реестра обнаружены:  1
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (PUP.Optional.Conduit) -> Плохо: (http://search.conduit.com?SearchSource=10&CUI=UN23281638991097981&UM=1&ctid=CT2504091) Хорошо: (http://www.google.com) -> Действие не было предпринято.
    
    Обнаруженные папки:  6
    C:\Users\Администратор\AppData\Local\Temp\ct2504091 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\IE (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\IE\CT2504091 (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\Multi\CT2504091 (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Conduit\CT2504091 (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    
    Обнаруженные файлы:  47
    C:\Program Files (x86)\MyAshampoo\prxtbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\Conduit\Community Alerts\Alert0.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\MyAshampoo\hk64tbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\MyAshampoo\hktbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\MyAshampoo\ldrtbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\MyAshampoo\MyAshampooToolbarHelper.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Program Files (x86)\MyAshampoo\MyAshampooToolbarHelper1.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Program Files (x86)\MyAshampoo\tbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze\.install4j\user\mism.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\hk64tbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\hktbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\ldrtbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\tbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Conduit\CT2475029\MyAshampooAutoUpdaterHelper.exe (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Conduit\CT2504091\Vuze_RemoteAutoUpdateHelper.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\ct2504091\ctbe.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\ct2504091\ieLogic.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\ct2504091\ism.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\ct2504091\statisticsStub.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\ct2504091\stub.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\LocalLow\MyAshampoo\hk64tbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\LocalLow\MyAshampoo\hktbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\LocalLow\MyAshampoo\ldrtbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\LocalLow\MyAshampoo\tbMyA2.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\LocalLow\Vuze_Remote\hk64tbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\LocalLow\Vuze_Remote\hktbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\LocalLow\Vuze_Remote\ldrtbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\LocalLow\Vuze_Remote\tbVuze.dll (PUP.Optional.Conduit) -> Действие не было предпринято.
    C:\Windows\System32\regedit.exe (Trojan.Agent) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\ct2504091\chromeid.txt (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\Users\Администратор\AppData\Local\Temp\ct2504091\setup.ini.txt (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\IE\CT2504091\configutaion.json (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\IE\CT2504091\SetupIcon.ico (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\IE\CT2504091\UninstallerUI.exe (PUP.Optional.Conduit.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\Multi\CT2504091\configutaion.json (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\Multi\CT2504091\SetupIcon.ico (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\ProgramData\Conduit\Multi\CT2504091\UninstallerUI.exe (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\GottenAppsContextMenu.xml (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\OtherAppsContextMenu.xml (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\SharedAppsContextMenu.xml (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\toolbar.cfg (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    C:\Program Files (x86)\Vuze_Remote\ToolbarContextMenu.xml (PUP.Optional.VuzeRemoteTB.A) -> Действие не было предпринято.
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  11. #10
    Junior Member Репутация
    Регистрация
    25.06.2014
    Сообщений
    6
    Вес репутации
    13
    Не помогло(

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,176
    Вес репутации
    1040
    И не должно было помочь. Компьютер почистили от вирусов. Ознакомьтесь http://virusinfo.info/showthread.php?t=162092
    Инструкции выполняются в том порядке, в котором они вам даны.
    Вы можете отблагодарить нас так или так
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Временно не отвечаю. Повышаю квалификацию и готовлюсь к экзаменам.

  13. #12
    Junior Member Репутация
    Регистрация
    25.06.2014
    Сообщений
    6
    Вес репутации
    13
    Большое человеческое спасибо)

Похожие темы

  1. И скнова paycrypt@gmail_com
    От rrChip в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 26.06.2014, 20:13
  2. Зашифрованы все файлы paycrypt@gmail_com
    От updake в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 25.06.2014, 13:20
  3. ПОМОГИТЕ ! paycrypt@gmail_com
    От AGROMAR в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.06.2014, 12:02
  4. paycrypt@gmail_com
    От DiVi80 в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.06.2014, 12:00
  5. Ответов: 2
    Последнее сообщение: 24.06.2014, 23:25

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01293 seconds with 17 queries