Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Зашифрованы файлы. Расширение ._crypt [Trojan-Dropper.Win32.Dorifel.alfo, Trojan.Win32.Yakes.fdlk ] (заявка № 162795)

  1. #1
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36

    Зашифрованы файлы. Расширение ._crypt [Trojan-Dropper.Win32.Dorifel.alfo, Trojan.Win32.Yakes.fdlk ]

    Добрый вечер. Нужна Ваша помошь. Обнаружил на компьютере, что все документы MS Office, картинки .jpg и .jpeg, .pdf и т.д. зашифрованы, к текущему расширению файлов добавилось расширение ._crypt. В папках, где имеются зашифрованные файлы, появился файл !_READ_ME_.txt следующего содержания:
    Ваши файлы зашифрованы.
    Для восстановления файлов, зайдите на страницу:
    http://data-recovery-back-up.com:800

    Your files was encrypted.
    For recovery your files, visit web page:
    http://data-recovery-back-up.com:800

    === KEY ===
    010200000266000000A40000604124B8733781D6
    ABA3FB0D1B19A248FB17D61B8C1A7683DD73F149
    36CAFD3710F6067B539A73DD59F8C6E60C75B5BC
    603E26D5DBCEA2671D65C7F38FA9C206
    === END ===

    Указанный файл содержал ссылку на ресурс, в котором находился такой текст:

    Ваши файлы были зашифрованы криптостойким алгоритмом RSA-2048.
    Для их восстановления, Вам необходимо приобрести наш дешифратор.
    Для покупки дешифраторa, пополните QIWI кошелек номер 9636436967 на сумму 1000 рублей.
    В примечании укажите код 1034306775. Данный код присвоен вашему компьютеру и понадобится для восстановления файлов.
    После оплаты и получения нами платежа, Вы сможете скачать дешифратор с этой же страницы.

    Скинул два файла на файлообменик (1-я ссылка с нормальным файлом, 2-ая с зашифрованным):
    https://cloud.mail.ru/public/38937c8...1%82%D1%8C.doc
    https://cloud.mail.ru/public/f4975ee...%8C.doc._crypt

    Пожалуйста, помогите.
    Вложения Вложения
    Последний раз редактировалось Persey1985; 09.07.2014 в 00:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Persey1985, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  5. #4
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36
    исправился
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код:
    begin
     ExecuteAVUpdate;
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
      then
       begin
        SearchRootkit(true, true);
        SetAVZGuardStatus(true);
       end;       
     ClearQuarantine;
     TerminateProcessByName('d:\documents and settings\user\local settings\application data\google\update\gupdate.exe');
     QuarantineFile('D:\Documents and Settings\User\Мои документы\CommonData\Winhlp31.exe','');
     QuarantineFile('D:\Documents and Settings\User\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe','');
     QuarantineFile('d:\documents and settings\user\local settings\application data\google\update\gupdate.exe','');
     QuarantineFile('D:\Documents and Settings\User\cgxbdkoy.exe','');
     DeleteFile('D:\Documents and Settings\User\cgxbdkoy.exe','32');
     DeleteFile('D:\Documents and Settings\User\Local Settings\Application Data\Google\Update\gupdate.exe','32');
     DeleteFile('D:\Documents and Settings\User\Local Settings\Application Data\NVIDIA Corporation\Update\daemonupd.exe','32');
     DeleteFile('D:\Documents and Settings\User\Мои документы\CommonData\Winhlp31.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Google Update');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','NvUpdService');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Winhlp31');                          
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MSConfig');     
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;   
    RebootWindows(false);
    end.
    Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

    Код:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cb6408348c429cbf045b704547485431&text={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=cb6408348c429cbf045b704547485431&text={searchTerms}
    O4 - HKCU\..\Run: [Google Update] D:\Documents and Settings\User\Local Settings\Application Data\Google\Update\gupdate.exe /app 8ABA636AEEC312F2D5EB619E14343D57
    O4 - Startup: winupdate.lnk = D:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\winupdate.exe
    Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
    2. Распакуйте архив с утилитой в отдельную папку
    3. Запустите checkbrowserlnk.exe
      Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
    4. После окончания работы программы на рабочем столе будет сохранен отчет CheckBrowserLnk.log
    5. Прикрепите этот отчет в вашей теме.


    Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код:
    %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
    Подробнее читайте в руководстве
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36
    Доброй ночи, приношу извинения за столь долгий ответ...

    - - - Добавлено - - -

    hijackthis.log и mbam-log-2014-07-16.txt пришлось запаковать. В управлении вложениями ругается из-за превышения объема. Как оттуда удалять ранее загруженные файлы? я как только не пробывал...
    mbam-log-2014-07-16.txt - делал не полное сканирование "Threat scan".
    Полное сканирование поставил на ночь, при необходимости пришлю результат позже.
    Вложения Вложения
    Последний раз редактировалось Persey1985; 16.07.2014 в 02:24.

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Логи AVZ старые прикрепили.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  10. #8
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    +
    Цитата Сообщение от Persey1985 Посмотреть сообщение
    В управлении вложениями ругается из-за превышения объема. Как оттуда удалять ранее загруженные файлы? я как только не пробывал...
    Мой кабинет - Вложения
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #9
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36
    исправился
    Вложения Вложения

  12. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Удалите эти файлы:

    D:\Program Files\Opera\opera.url
    D:\Program Files\Internet Explorer\IEXPLORE.url
    Исправьте ярлыки:

    D:\Documents and Settings\All Users\Главное меню\Программы\Opera.lnk
    D:\Documents and Settings\User\Главное меню\Программы\Internet Explorer.lnk
    D:\Documents and Settings\User\Главное меню\Программы\Стандартные\Служебные\Internet Explorer (без надстроек).lnk
    D:\Documents and Settings\All Users\Рабочий стол\Opera.lnk
    D:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Запустить обозреватель Internet Explorer.lnk
    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).

    Код:
    Ключи реестра: 6
    PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\CLASSES\CLSID\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [09d0801f760564d29bf290c7e9199d63], 
    PUP.Optional.BetterSurf.A, HKU\S-1-5-21-527237240-1284227242-1606980848-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [09d0801f760564d29bf290c7e9199d63], 
    PUP.Optional.BetterSurf.A, HKU\S-1-5-21-527237240-1284227242-1606980848-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [09d0801f760564d29bf290c7e9199d63], 
    Backdoor.Agent.XN, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Tumanni 1.21, , [7d5cecb3abd088ae17473a899d6542be], 
    Trojan.Agent.XN, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Kak 1.22, , [6871277891ea5cda6cd9e733e321c43c], 
    PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\poheodfamflhhhdcmjfeggbgigeefaco, , [ce0be6b94f2c87af6208a038be44df21], 
    
    Значения реестра: 1
    PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|[email protected], D:\Program Files\Better-Surf\ff, , [3a9ff8a7e19a87af6256dce5fd05669a]
    
    Папки: 9
    Backdoor.Agent.XN, D:\Program Files\Vecher\Tumanni, , [7d5cecb3abd088ae17473a899d6542be], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    Trojan.Agent.XN, D:\Program Files\Inst\Kak, , [6871277891ea5cda6cd9e733e321c43c], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ch, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\chrome, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\chrome\content, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ie, , [6574920d3b4011255e3df9a88b77b34d], 
    
    Файлы: 41
    Spyware.Zbot.VXGen, D:\Documents and Settings\User\Local Settings\Application Data\Microsoft\Windows\winupdate.exe, , [c019207f8cef9c9a57e68be60ff2f60a], 
    Spyware.Zbot.VXGen, D:\WINDOWS\system32\winboostspeed.exe, , [b326edb276053ef82a13c8a9cb361be5], 
    Trojan.Agent.ED, D:\WINDOWS\zdriver32.exe, , [efea603f116a999d750aa9eaed1415eb], 
    Trojan.Miner, D:\Documents and Settings\User\Application Data\Microsoft\sys32\minerd.exe, , [9247247b5b2035017eaef4ca0af8b848], 
    Backdoor.Agent.XN, D:\Program Files\Vecher\Tumanni\Uninstall.ini, , [7d5cecb3abd088ae17473a899d6542be], 
    Backdoor.Agent.XN, D:\Program Files\Vecher\Tumanni\alkohol.vbs, , [7d5cecb3abd088ae17473a899d6542be], 
    Backdoor.Agent.XN, D:\Program Files\Vecher\Tumanni\anarubek.bat, , [7d5cecb3abd088ae17473a899d6542be], 
    Backdoor.Agent.XN, D:\Program Files\Vecher\Tumanni\skapank.kjh, , [7d5cecb3abd088ae17473a899d6542be], 
    Backdoor.Agent.XN, D:\Program Files\Vecher\Tumanni\Uninstall.exe, , [7d5cecb3abd088ae17473a899d6542be], 
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\8ssj99yu.default\searchplugins\webalta-search.xml, , [16c36d32730881b54220dfec3fc327d9], 
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b0k2m5u0.default\searchplugins\webalta-search.xml, , [9e3bd8c7ef8cad89abb79f2c7e847a86], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\manifest.json, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\128.png, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\16.png, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\48.png, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\content.js, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\MPGGZRdOQMFvseW.html, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\OCoZFMSiwivz.js, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\qgGTTrXryXRzs.js, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\xCDHbAoLugiwRh.js, , [23b6e9b63c3f6acc9ee1786a37cba060], 
    Trojan.Miner, D:\Documents and Settings\User\Application Data\Microsoft\sys32\Elevate.exe, , [9346405f73082a0cf2697e9439cb40c0], 
    Trojan.Miner, D:\Documents and Settings\User\Application Data\Microsoft\sys32\Elevate.pdb, , [3d9cfea14e2dfd3976e58191b84c946c], 
    Trojan.Miner, D:\Documents and Settings\User\Application Data\Microsoft\sys32\drive.exe, , [6376326d3f3ce452114bc2507e869c64], 
    Trojan.Miner, D:\Documents and Settings\User\Application Data\Microsoft\sys32\sys32.7z, , [429726799fdceb4b8ecfd33f12f29f61], 
    Misused.Legit, D:\Documents and Settings\User\Application Data\Microsoft\sys32\7za.exe, , [6475f1aed7a40f2727378290ba4abd43], 
    Trojan.Miner, D:\WINDOWS\system\sys32.7z, , [6a6f435c0b70dd59431c878b976dc53b], 
    Trojan.Agent.XN, D:\Program Files\Inst\Kak\Uninstall.ini, , [6871277891ea5cda6cd9e733e321c43c], 
    Trojan.Agent.XN, D:\Program Files\Inst\Kak\buhlo.vbs, , [6871277891ea5cda6cd9e733e321c43c], 
    Trojan.Agent.XN, D:\Program Files\Inst\Kak\cheburek.bat, , [6871277891ea5cda6cd9e733e321c43c], 
    Trojan.Agent.XN, D:\Program Files\Inst\Kak\Uninstall.exe, , [6871277891ea5cda6cd9e733e321c43c], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\Better-Surf.xpi, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\build.cmd, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\chrome.manifest, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\install.rdf, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\chrome\content\firefox.js, , [6574920d3b4011255e3df9a88b77b34d], 
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\8ssj99yu.default\prefs.js, Good: (), Bad: (user_pref("browser.startup.homepage", "http://webalta.ru");), ,[f6e3acf35f1cf04699e9d4fe14f01fe1]
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\8ssj99yu.default\prefs.js, Good: (), Bad: (user_pref("keyword.URL", "http://webalta.ru/poisk?q=");), ,[f6e3108fcfac67cf354ff8da7a8abd43]
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b0k2m5u0.default\prefs.js, Good: (), Bad: (user_pref("browser.startup.homepage", "http://webalta.ru");), ,[1ebb306f512a96a0cbb78250ec1830d0]
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b0k2m5u0.default\prefs.js, Good: (), Bad: (user_pref("keyword.URL", "http://webalta.ru/poisk?q=");), ,[1abfc8d7413a8babbdc752803acab54b]
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  13. #11
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36
    я ещё раз отсканировал в MBAM, то что он предложил я в Карантин отправил.
    Вложения Вложения

  14. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Это удаляли в MBAM?

    Код:
    Ключи реестра: 4
    PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\CLASSES\CLSID\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [47f0e2be8fecac8a47065bfd44bed12f], 
    PUP.Optional.BetterSurf.A, HKU\S-1-5-21-527237240-1284227242-1606980848-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [47f0e2be8fecac8a47065bfd44bed12f], 
    PUP.Optional.BetterSurf.A, HKU\S-1-5-21-527237240-1284227242-1606980848-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8271B5D6-76D3-4ABF-AEB3-1721161C76BC}, , [47f0e2be8fecac8a47065bfd44bed12f], 
    PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\poheodfamflhhhdcmjfeggbgigeefaco, , [5add4957f08bec4ac51cbd1c9b67ec14], 
    
    Значения реестра: 1
    PUP.Optional.BetterSurf.A, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|[email protected], D:\Program Files\Better-Surf\ff, , [9a9d7b257b001521cf69e8db0101da26]
    
    Папки: 7
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ch, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\chrome, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\chrome\content, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ie, , [78bf6d3391ea1224104b30723fc35da3], 
    
    Файлы: 20
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\8ssj99yu.default\searchplugins\webalta-search.xml, , [181f069a6318c76f3aa82ca0818141bf], 
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b0k2m5u0.default\searchplugins\webalta-search.xml, , [7eb90799e695d363974bdcf0ae5417e9], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\manifest.json, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\128.png, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\16.png, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\48.png, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\content.js, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\MPGGZRdOQMFvseW.html, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\OCoZFMSiwivz.js, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\qgGTTrXryXRzs.js, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSmile.A, D:\Documents and Settings\User\Application Data\smwdgt\xCDHbAoLugiwRh.js, , [a5928b15bcbf999d36c0984b44bea15f], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\Better-Surf.xpi, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\build.cmd, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\chrome.manifest, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\install.rdf, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.BetterSurf, D:\Program Files\Better-Surf\ff\chrome\content\firefox.js, , [78bf6d3391ea1224104b30723fc35da3], 
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\8ssj99yu.default\prefs.js, Good: (), Bad: (user_pref("browser.startup.homepage", "http://webalta.ru");), ,[0e29950b8cef68ce9aabeee620e43cc4]
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\8ssj99yu.default\prefs.js, Good: (), Bad: (user_pref("keyword.URL", "http://webalta.ru/poisk?q=");), ,[90a7534d186384b249fea430c0444db3]
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b0k2m5u0.default\prefs.js, Good: (), Bad: (user_pref("browser.startup.homepage", "http://webalta.ru");), ,[b5824f51295261d5d66f19bb40c4a15f]
    PUP.Optional.WebAlta.A, D:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\b0k2m5u0.default\prefs.js, Good: (), Bad: (user_pref("keyword.URL", "http://webalta.ru/poisk?q=");), ,[cd6a1d83225971c5380f736119eb48b8]
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  15. #13
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36
    нет (по умолчанию стояло с ними ничего не делать), вечером еще раз проверю и данные файлы удалю.

    - - - Добавлено - - -

    всё что MBAM нашел (совпадало с тем что вы просили удалить), удалил
    Вложения Вложения

  16. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    В техподдержку DrWeb обращались?
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  17. #15
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36
    Цитата Сообщение от mike 1 Посмотреть сообщение
    В техподдержку DrWeb обращались?
    Да, увы не помогли, цитирую: "На данный момент расшифровка нашими силами видится невозможной.
    Таким образом, основная рекомендация : обратитесь с заявлением в территориальное управление "К" МВД РФ;
    по факту несанкционированного доступа к компьютеру, распространения вредоносных программ и вымогательства.
    Образцы заявлений, а также ссылка на госпортал ("Порядок приема сообщений о происшествии в органах внутренних дел РФ") есть на нашем сайте: http://legal.drweb.com/templates
    Возможно, в результате полицейской акции поймают автора/"хозяина" троянца и выяснят у него шифроключ.

    Если у нас появится полезная для Вас информация, мы сами переоткроем запрос и сообщим вам ее, пока запрос можно закрыть.

    С уважением,
    служба технической поддержки компании "Доктор Веб"."

    Но прочитав одну из похожих тем на вашем форуме, я увидел , что вам удалось выяснить шифроключ и поэтому к вам обратился в том числе.

  18. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Но прочитав одну из похожих тем на вашем форуме, я увидел , что вам удалось выяснить шифроключ и поэтому к вам обратился в том числе.
    Это где вы такое прочитали? Прикрепите несколько зашифрованных файлов в архиве форматов doc, xls, jpg.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  19. #17
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36
    увидел вот в этой теме:
    http://virusinfo.info/showthread.php?t=162202&

    когда создавал тему скинул вордовские файлы, вот еще раз ссылки:
    https://cloud.mail.ru/public/38937c8...1%82%D1%8C.doc
    https://cloud.mail.ru/public/f4975ee...%8C.doc._crypt

  20. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для mike 1
    Регистрация
    05.11.2011
    Адрес
    Москва
    Сообщений
    42,908
    Вес репутации
    1060
    Пока без оригинального дешифратора не обойтись.
    Инструкции выполняются в том порядке, в котором они вам даны.
    А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
    Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
    Интересный блог Андрея Иванова по шифровальщикам
    Антивирус на 30 дней => https://clck.ru/FKsBt

  21. #19
    Junior Member Репутация
    Регистрация
    28.06.2014
    Сообщений
    9
    Вес репутации
    36
    Цитата Сообщение от mike 1 Посмотреть сообщение
    Пока без оригинального дешифратора не обойтись.
    что делать? обращаться в полицию?

  22. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Persey1985 Посмотреть сообщение
    что делать? обращаться в полицию?
    Да, так как без заявления от пострадавшего они даже не могут завести дело на автора этих шифровальщиков.

  • Уважаемый(ая) Persey1985, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Файлы зашифрованы (расширение .ARRESTED)
      От thyrex в разделе Шифровальщики
      Ответов: 50
      Последнее сообщение: 14.08.2014, 08:54
    2. Файлы зашифрованы (расширение *.LAK)
      От scc72 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 30.07.2013, 09:04
    3. Файлы зашифрованы (расширение *.LAK)
      От Ildar Usmanov в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 29.07.2013, 14:43
    4. Зашифрованные файлы _CRYPT
      От danil в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 03.06.2008, 13:33

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00781 seconds with 20 queries