Помогите ! Ваши файлы зашифрованы. Для восстановления файлов, зайдите на страницу: http://data-recovery-back-up.com:800
Файлы doc,jpg,архивы, не открываются, появились файлы Read_me с текстом ->
Ваши файлы зашифрованы.
Для восстановления файлов, зайдите на страницу: http://data-recovery-back-up.com:800
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) _uin, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\User\clszeptu.exe','');
DeleteFile('C:\Users\User\clszeptu.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
mike 1,
c:\7r1dabkt.exe Да это DrWeb Cure it !
C:\Users\User\clszeptu.exe файл отсутствует, архив 'quarantine.zip создается пустой!
Вот запись антивируса в лог ->->-> 23.06.2014 22:04:58 Защита в режиме реального времени файл C:\Users\User\clszeptu.exe Win32/Tofsee.AX троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\system32\SearchProtocolHost.exe.
Пробую восстановить clszeptu.exe!! Есть смысл восстановления данного файла?
mike 1,
Отправил через ссылку "Прислать запрошенный карантин"
(1.hijackthis.txt 2.quarantine.rar 3.virusinfo_syscheck.zip) => virusinfo_syscheck.rar
В quarentine.rar найдены
1.C:\Users\User\AppData\Roaming\Microsoft\sys32\dr ive.exe BAT/CoinMiner.DX троянская программа
2.C:\Users\User\AppData\Local\Temp\ztmp\t17498.bat BAT/CoinMiner.GU троянская программа
3.C:\Users\User\AppData\Roaming\Microsoft\sys32\dr iver.exe BAT/CoinMiner.GU троянская программ
4.C:\Users\User\AppData\Local\Temp\ztmp\t15999.bat BAT/CoinMiner.GU троянская программа
Спасибо вам за помощь!
Последний раз редактировалось _uin; 28.06.2014 в 13:36.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
ClearQuarantine;
QuarantineFile('C:\Users\User\appdata\roaming\microsoft\sys32\minerd.exe','');
QuarantineFile('C:\Users\User\appdata\roaming\microsoft\sys32\drive.exe','');
QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\driver.exe','');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\driver.exe','');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\driver.exe','32');
DeleteFile('C:\Users\User\appdata\roaming\microsoft\sys32\drive.exe','32');
DeleteFile('C:\Users\User\appdata\roaming\microsoft\sys32\minerd.exe','32');
DeleteFile('C:\Users\User\appdata\roaming\microsoft\windows\start menu\programs\startup\driver.exe','32');
DeleteFileMask('C:\Users\User\appdata\roaming\microsoft\sys32', '*', true, ' ');
DeleteDirectory('C:\Users\User\appdata\roaming\microsoft\sys32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Код:
O4 - Global Startup: driver.exe
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Логи в порядке. Самого шифратора не удалось найти. Карантин не нужно выкладывать в теме его нужно загружать по красной ссылке "Прислать запрошенный карантин".
mike 1,
а шифратор уникален для каждого зараженного?
может с такой проблемой столкнетесь в будущем, можно будет получить решение проблемы на email?
Спасибо!