Добрый день! Набрела на вирусню Support@casinomtgox. Переименовал все картинки.
Файлы логов в приложении. Надеюсь, сможете помочь.
hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip
Добрый день! Набрела на вирусню Support@casinomtgox. Переименовал все картинки.
Файлы логов в приложении. Надеюсь, сможете помочь.
hijackthis.logvirusinfo_syscheck.zipvirusinfo_syscure.zip
Уважаемый(ая) Виктория Доронина, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Vika\appdata\roaming\closer.exe',''); QuarantineFile('C:\Users\Vika\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\updater.exe',''); QuarantineFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\checkupdate.exe',''); QuarantineFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0029c3bc.exe',''); QuarantineFile('c:\windows\system32\rpcss.dll',''); QuarantineFile('C:\PROGRA~2\mstdam.exe',''); DeleteFile('C:\PROGRA~2\mstdam.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','339519976'); DeleteFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0029c3bc.exe','32'); DeleteFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\checkupdate.exe','32'); DeleteFile('C:\Users\Vika\AppData\Roaming\Microsoft\Windows\updater.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','updatesvc'); DeleteFile('C:\Users\Vika\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\system32\Tasks\DealPly','32'); DeleteFile('C:\Users\Vika\appdata\roaming\closer.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
c:\windows\system32\rpcss.dll замените чистым с дистрибутива http://virusinfo.info/showthread.php?t=51654 или скопируйте с аналогичной системы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?iq O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 23
- В ходе лечения обнаружены вредоносные программы:
- c:\progra~2\mstdam.exe - Backdoor.Win32.Androm.enui ( BitDefender: Gen:Variant.Graftor.146624, AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\vika\appdata\roaming\microsoft\windows\st art menu\programs\startup\checkupdate.exe - Backdoor.Win32.Mustela.aq
- c:\users\vika\appdata\roaming\microsoft\windows\up dater.exe - Backdoor.Win32.Mustela.aq
Предыдущюю тему (http://virusinfo.info/showthread.php...779&highlight=) закрыли за сроком давности. Слетела система, не могла выйти на связь. Все фото остались на диске D.
Прилагаю новые логи.
Прикрепите зашифрованную картинку в архиве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вложение из письма сохранилось?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Не очень поняла вопрос. Сейчас все фотографии и картинки сохраняются нормально.
Xenta, имелось ввиду файл (ссылка) после запуска которого всё зашифровалось сохранилось? Обычно вирус присылается с письмом по почте.
Скорее всего не сохранилось. В почте никаких таких писем замечено не было. Сейчас уже система новая стоит.
Заражении произошло 6-7 июля и я уверенна не через почту, винда ругалась на непонятный запущенный процесс. Основные ресурсы что я посещала - туризм и бронирование билетов.
Загрузите на файлообменник в архиве 50 зашифрованных картинок. Полученную ссылку прикрепите здесь.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Такой файлообменник подойдет?https://cloud.mail.ru/public/e213e71...0%B3%D0%B0.rar
Расшифровалось только 9 фотографий от общего количества. Посмотрите все таки почту может приходило какой нибудь письмо от судебных приставов?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Ох, к сожалению нет. Я подозрительные письма сразу удаляю без прочтения.
К сожалению без вложения из письма нельзя сделать полноценную расшифровку файлов.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Понятно, но я могла получить вирус не из письма на почте, а закачав что-либо по ссылке?
Как восстановить хотя бы 18 % ?
Данный шифратор распространяется через электронную почту.Понятно, но я могла получить вирус не из письма на почте, а закачав что-либо по ссылке?
Оптимальные параметры запуска декриптора для вашего случая лучше узнать в техподдержке Drweb я же могу ошибиться и выдать не совсем подходящие параметры.Как восстановить хотя бы 18 % ?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
В любом случае, большое вам спасибо!