Добрый день. Напоролся. Прошу помощи.
tel102deskrypt.exe с кодом -224 ситуацию не исправил.
----
Ссылки на зашифрованные фото:
https://yadi.sk/d/EKokm4PebegV2
https://yadi.sk/d/X08l97UhbegV4
https://yadi.sk/d/KJJmiFVRbe2En
Добрый день. Напоролся. Прошу помощи.
tel102deskrypt.exe с кодом -224 ситуацию не исправил.
----
Ссылки на зашифрованные фото:
https://yadi.sk/d/EKokm4PebegV2
https://yadi.sk/d/X08l97UhbegV4
https://yadi.sk/d/KJJmiFVRbe2En
Уважаемый(ая) BoRT33, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте! Само вложение которое запускали сохранилось?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Windows\vc_redist(x86).exe',''); QuarantineFile('C:\Users\Gena\AppData\Local\Temp\rad6460E.tmp.exe',''); DeleteService('VuuPCConnectivity'); DeleteService('RemoteEngineService'); DeleteFile('C:\Program Files (x86)\VuuPC\Connectivity.exe','32'); DeleteFile('C:\Program Files (x86)\VuuPC\remoteengine.exe','32'); DeleteFile('C:\Users\Gena\AppData\Local\Temp\rad6460E.tmp.exe','32'); DeleteFile('C:\Windows\Tasks\qzm14ar.job','64'); DeleteFile('C:\Windows\system32\Tasks\qzm14ar','64'); DeleteFile('C:\Windows\system32\Tasks\VuuPCUpdate','64'); DeleteFile('C:\Windows\system32\Tasks\VuuPCUpdateLogin','64'); DeleteFile('C:\Windows\vc_redist(x86).exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика из обычного режима.(virusinfo_syscheck.zip;hijackthis.log)Код:O2 - BHO: BringStar - {0ba6da2e-a2ee-4222-846f-79755e1d26f6} - C:\Program Files (x86)\BringStar\BringStarbho.dll O4 - HKCU\..\Run: [Visual C++ Redistributable 2010] C:\Windows\vc_redist(x86).exe O4 - Global Startup: Tabs.lnk = C:\Program Files (x86)\Ticno\Tabs\Ticno Tabs.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вложение скорее всего не сохранилось, но сохранены файлы, которые явно левые и висели в автозапуске (автозапуск почистил, файлы сохранил):
C:\users\gena\appdata\roaming\1B5D.tmp.exe
C:\users\gena\appdata\roaming\vaijcwia\vabwibsw.ex e
c:\recycle.bin\b6232f3aaa3.exe
И восстановил из карантина файл, схваченный ESS:
C:\Recycle.Bin\4A10F8E46F41DB6
Инфа из журнала ESS:
20.09.2014 20:49:30 Защита в режиме реального времени файл C:\Recycle.Bin\4A10F8E46F41DB6 Win32/Spy.SpyEye.CFG.A троянская программа очищен удалением - изолирован Gena-PC\Gena Событие произошло в новом файле, созданном следующим приложением: C:\Recycle.Bin\B6232F3AAA3.exe.
Не знаю, то ли это, но вроде как похоже.
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыC:\users\gena\appdata\roaming\1B5D.tmp.exe
C:\users\gena\appdata\roaming\vaijcwia\vabwibsw.ex e
c:\recycle.bin\b6232f3aaa3.exe
Проверьте эти файлы на virustotal
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.Код:c:\windows\wsawins.exe
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
c:\windows\wsawins.exe :
https://www.virustotal.com/ru/file/f...is/1411642987/
-----
Выслал, включая доп. файл C:\Users\Gena\AppData\Roaming\vaijcwia\vaijcwia без расширения.
- - - - -Добавлено - - - - -
C:\users\gena\appdata\roaming\1B5D.tmp.exe :
https://www.virustotal.com/ru/file/3...is/1411643922/
---------
C:\users\gena\appdata\roaming\vaijcwia\vabwibsw.ex e :
https://www.virustotal.com/ru/file/8...is/1411643957/
--------
c:\recycle.bin\b6232f3aaa3.exe :
https://www.virustotal.com/ru/file/7...is/1411643996/
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin ExecuteAVUpdate; ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\windows\wsawins.exe'); SetServiceStart('wsawins', 4); StopService('wsawins'); QuarantineFile('c:\windows\wsawins.exe',''); DeleteFile('C:\Windows\wsawins.exe','32'); DeleteService('wsawins'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txtКод:%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Готово.
Базы надо было обновить перед сканированием.Версия базы данных: v2013.04.04.07
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Не внимателен, прошу прощения.
Выполните скрипт в AVZ:
quarantine3.zip пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('C:\Recycle.Bin\B6232F3AAA3.exe',''); QuarantineFile('C:\Users\Gena\AppData\Local\Temp\1B5D.tmp.exe',''); QuarantineFile('C:\Users\Gena\AppData\Local\Temp\347.exe',''); QuarantineFile('C:\Users\Gena\AppData\Local\Temp\miner.exe',''); QuarantineFile('C:\Users\Gena\AppData\Local\Temp\rad0011A.tmp.exe',''); QuarantineFile('C:\Users\Gena\AppData\Local\Temp\tmp7e8d13e5.exe',''); QuarantineFile('C:\Users\Gena\AppData\Roaming\1B5D.tmp.exe',''); QuarantineFile('C:\Users\Gena\AppData\Roaming\vaijcwia\vabwibsw.exe',''); CreateQurantineArchive(GetAVZDirectory+'quarantine3.zip'); end.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Отправил.
Последний раз редактировалось BoRT33; 26.09.2014 в 12:01.
Удалите в MBAM все, кроме:
Код:Обнаруженные файлы: C:\Users\Gena\Downloads\miniinstall.exe (PUP.Adware.MultiBar) -> Действие не было предпринято. C:\Users\Gena\Downloads\ochen_strashnoe_kino_5_2013_d_hdrip_avi (2).exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. C:\Users\Gena\Downloads\ochen_strashnoe_kino_5_2013_d_hdrip_avi.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. C:\Users\Gena\Downloads\samolety_2013_dt_hdrip_1400mb_avi.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. C:\Users\Gena\Downloads\sbornik_klipov__rossypyuyuyu_chast_39_2012_webrip_720p_1080ptorrent_id825510id.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. C:\Users\Gena\Downloads\Setup.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято. C:\Users\Gena\Downloads\terminator_3_vosstanie_mashin__terminator_3_rise_of_the_machines_2003_hdripavctorrent.exe (PUP.Adware.MediaGet) -> Действие не было предпринято. C:\Users\Gena\Downloads\остер 606 инструкция (1).exe (PUP.BundleInstaller.MB) -> Действие не было предпринято. C:\Users\Gena\Downloads\остер 606 инструкция.exe (PUP.BundleInstaller.MB) -> Действие не было предпринято. C:\Users\Gena\Downloads\backups\backup-20140925-133323-598.dll (PUP.Optional.BringStar.A) -> Действие не было предпринято.Вложение все таки нужно т.к. в карантине похоже нет шифратора.Вложение скорее всего не сохранилось
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Не очень понял - заново запустить MBAM, и после полного скана отметить все галочками и удалить\вылечить кроме вышеуказанного ?
---
плохо( попробую найти.
он мог само удалиться после выполнения задачи ? Есть ли смысл пройтись чем-нибудь по восст. удаленной инфы и сравнить с нынешним результатом ?
Мог.он мог само удалиться после выполнения задачи ?
Есть. Сможете найти шифратора будет расшифровка, не сможете тогда увы.Есть ли смысл пройтись чем-нибудь по восст. удаленной инфы и сравнить с нынешним результатом ?
ДаНе очень понял - заново запустить MBAM, и после полного скана отметить все галочками и удалить\вылечить кроме вышеуказанного ?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
В общем шифратор не нашел. Придется покупать. Спасибо Вам за помощь!
Информация
Скачайте te102decrypt.exe и сохраните в корень диска С.
В командной строке введите:
Внимание!!!Код:C:\te102decrypt.exe -k h49 -e [email protected]_143OLIMP
1. Утилита попытается восстановить некоторые типы файлов. В лучшем случае te102decrypt сможет восстановить кое-что из файлов формата jpg/doc/xls
2. Для полной расшифровки потребуется суммарное место на дисках, приблизительно равное месту, занимаемому зашифрованными файлами, т.к. утилита их не удаляет
3. Удаляйте зашифрованные копии только после того, как убедитесь, что файлы успешно дешифровались
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 15
- В ходе лечения обнаружены вредоносные программы:
- c:\recycle.bin\b6232f3aaa3.exe - HEUR:Trojan.Win32.Generic ( DrWEB: Trojan.PWS.SpySweep.1024, BitDefender: Gen:Variant.Symmi.39121 )
- c:\users\gena\appdata\local\temp\rad0011a.tmp.exe - Trojan.Win32.Sharik.rkb ( BitDefender: Gen:Variant.Kazy.346621 )
- c:\users\gena\appdata\local\temp\tmp7e8d13e5.exe - Trojan-PSW.Win32.Tepfer.tdcv ( BitDefender: Gen:Variant.Zusy.81923, AVAST4: Win32:Zbot-SON [Trj] )
- c:\users\gena\appdata\local\temp\1b5d.tmp.exe - Trojan-Ransom.Win32.Blocker.dnko ( BitDefender: Gen:Variant.Kazy.334911, AVAST4: Win32:BitCoinMiner-FG [Trj] )
- c:\users\gena\appdata\local\temp\347.exe - Trojan.Win32.Yakes.dzfn ( BitDefender: Trojan.Agent.BBPJ, AVAST4: Win32:Dircrypt-A [Trj] )
- c:\users\gena\appdata\roaming\vaijcwia\vabwibsw.ex e - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Variant.Kazy.269537, AVAST4: Win32:Malware-gen )
- c:\users\gena\appdata\roaming\1b5d.tmp.exe - Trojan-Ransom.Win32.Blocker.dnko ( BitDefender: Gen:Variant.Kazy.334911, AVAST4: Win32:BitCoinMiner-FG [Trj] )
- c:\windows\vc_redist(x86).exe - HEUR:Trojan.Win32.Generic ( BitDefender: Trojan.Generic.10327289, AVAST4: Win32:Delf-TQH [Trj] )
- c:\windows\wsawins.exe - HEUR:Trojan.Win32.Generic
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) BoRT33, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.