Здравствуйте. Какой-то вирус зашифровал абсолютно все файлы на дисках Д и Е, за расшифровку просят денег. К названиям файлов добавилось расширение cry. Файлы здесь http://dropmefiles.com/FvSoQ
Здравствуйте. Какой-то вирус зашифровал абсолютно все файлы на дисках Д и Е, за расшифровку просят денег. К названиям файлов добавилось расширение cry. Файлы здесь http://dropmefiles.com/FvSoQ
Уважаемый(ая) Antonuk, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Lortoc, кажется кличут
eTranslator удалите через Установку программ
Пересоздавайте все ярлыки запуска браузеров
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DelBHO('{7F6AFBF1-E065-4627-A2FD-810366367D01}'); QuarantineFile('C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabBHO.dll',''); QuarantineFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\system app\loader.exe',''); QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe',''); QuarantineFile('C:\Users\user\AppData\Local\Temp\wpbt0.dll',''); QuarantineFile('C:\Program Files (x86)\RelevantKnowledge\rlservice.exe',''); SetServiceStart('RelevantKnowledge', 4); DeleteService('RelevantKnowledge'); TerminateProcessByName('C:\Program Files (x86)\RelevantKnowledge\rlvknlg64.exe'); QuarantineFile('C:\Program Files (x86)\RelevantKnowledge\rlvknlg64.exe',''); TerminateProcessByName('c:\progra~2\releva~1\rlvknlg32.exe'); QuarantineFile('c:\progra~2\releva~1\rlvknlg32.exe',''); TerminateProcessByName('c:\program files (x86)\relevantknowledge\rlvknlg.exe'); QuarantineFile('c:\program files (x86)\relevantknowledge\rlvknlg.exe',''); TerminateProcessByName('c:\program files (x86)\relevantknowledge\rlservice.exe'); QuarantineFile('c:\program files (x86)\relevantknowledge\rlservice.exe',''); DeleteFile('c:\program files (x86)\relevantknowledge\rlservice.exe','32'); DeleteFile('c:\program files (x86)\relevantknowledge\rlvknlg.exe','32'); DeleteFile('c:\progra~2\releva~1\rlvknlg32.exe','32'); DeleteFile('C:\Program Files (x86)\RelevantKnowledge\rlvknlg64.exe','32'); DeleteFile('C:\Program Files (x86)\RelevantKnowledge\rlservice.exe','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Users\user\AppData\Local\Temp\wpbt0.dll','32'); DeleteFile('C:\Users\user\AppData\Local\amigo.bat','32'); DeleteFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SystemAutorun.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemAutorun'); DeleteFile('C:\Users\user\AppData\Roaming\system app\loader.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','LoaderLocker'); DeleteFile('C:\Users\user\AppData\Roaming\eTranslator\eTranslator.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update'); DeleteFile('C:\firefox.bat','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabBHO.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d19ff46ddd8212ff6ce9218abaf2c49d&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d19ff46ddd8212ff6ce9218abaf2c49d&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d19ff46ddd8212ff6ce9218abaf2c49d&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d19ff46ddd8212ff6ce9218abaf2c49d&text= O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (file missing) O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=d19ff46ddd8212ff6ce9218abaf2c49d&text=
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Спасибо за помощь, но только я не очень продвинутый пользователь. Справилась только с 1 и 2 пунктом. Все остальное повергло меня в ступор.....Может, можна какую-то инструкцию......
http://virusinfo.info/showthread.php?t=7239
http://virusinfo.info/showthread.php?t=4491
Новые логи - еще раз выполнить написанное в разделе Диагностика
Для лога МВАМ ссылка и так указана
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Вот, это готово
запакуйте с паролем virus и пришлите по красной ссылке Прислать запрошенный карантин вверху темыC:\Users\user\AppData\Roaming\Microsoft Office Standart\Decrypt.exe
C:\Users\user\AppData\Roaming\Microsoft Office Standart\Encrypt.exe
Поместите в карантин МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Новые логи
- - - - -Добавлено - - - - -
С карантином не получается, вроде бы делаю как написано, а ответ - ошибка загрузки, данный файл уже был загружен
Не получается загрузить в карантин эти два файла?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\users\user\appdata\roaming\system app\loader.exe - not-a-virus:RiskTool.MSIL.Agent.ak
Уважаемый(ая) Antonuk, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.