Зашифрованы фотографии, документы, архивы методом шифрования AES 256, хотят чтобы им отправили деньги для расшифровки.
выкладываю файлы
http://www.fayloobmennik.net/4169494
http://www.fayloobmennik.net/4169498
Шифровальщик [not-a-virus:RemoteAdmin.Win32.Ammyy.hq, not-a-virus:AdWare.Win32.MMag.k
]
Зашифрованы фотографии, документы, архивы методом шифрования AES 256, хотят чтобы им отправили деньги для расшифровки.
выкладываю файлы
http://www.fayloobmennik.net/4169494
http://www.fayloobmennik.net/4169498
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) fakirki, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Maestro\appdata\roaming\searchindexer\moduleinno.exe',''); QuarantineFile('C:\Users\Maestro\appdata\roaming\closer.exe',''); QuarantineFile('C:\Users\Maestro\AppData\Roaming\newSI_4396\s_inst.exe',''); DelBHO('{79E1CFFB-E2E0-436C-B82A-9902BBEA6391}'); QuarantineFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll',''); QuarantineFile('C:\Users\Maestro\AppData\Roaming\runWIN\Update.exe',''); QuarantineFile('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe',''); QuarantineFile('C:\Users\Maestro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe',''); QuarantineFile('C:\Users\Maestro\AppData\Local\storegid\storegid.exe',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll',''); QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll',''); QuarantineFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll',''); SetServiceStart('storegidfilter', 4); DeleteService('storegidfilter'); SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A9119622', 4); DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622'); DeleteService('CltMngSvc'); QuarantineFile('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe',''); QuarantineFile('C:\Program Files (x86)\Torrent Search\Basement\ExtensionUpdaterService.exe',''); QuarantineFile('C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe',''); QuarantineFile('C:\Windows\storegidfilter.sys',''); QuarantineFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\setmgrc1.cfg',''); TerminateProcessByName('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\tiket.exe'); QuarantineFile('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\tiket.exe',''); DeleteFile('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\tiket.exe','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\setmgrc1.cfg','32'); DeleteFile('C:\Windows\storegidfilter.sys','32'); DeleteFile('C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe','32'); DeleteFile('C:\PROGRA~2\SearchProtect\Main\bin\CltMngSvc.exe','32'); DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll','32'); DeleteFile('C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baiduAnTray','command'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll','32'); DeleteFile('C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x86'); DeleteFile('C:\Program Files (x86)\baidu\BindEx.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\baidu','command'); DeleteFile('C:\Users\Maestro\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Maestro\AppData\Local\storegid\storegid.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command'); DeleteFile('C:\Users\Maestro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runWIN.exe','32'); DeleteFile('C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT\Encrypt.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Encrypt','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TorrentStat','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RuningWIN32','command'); DeleteFile('C:\Users\Maestro\AppData\Roaming\runWIN\Update.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LoaderSystemWIN','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NewLoadSystemWIN32','command'); DeleteFile('C:\Program Files (x86)\WebBars\Basement\Extension32.dll','32'); DeleteFile('C:\Users\Maestro\AppData\Roaming\newSI_4396\s_inst.exe','32'); DeleteFile('C:\Windows\Tasks\newSI_4396.job','64'); DeleteFile('C:\Windows\system32\Tasks\newSI_4396','64'); DeleteFile('C:\Users\Maestro\appdata\roaming\closer.exe','32'); DeleteFile('C:\Users\Maestro\appdata\roaming\searchindexer\moduleinno.exe','32'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('BDSGRTP'); BC_DeleteSvc('bd0001'); BC_DeleteSvc('bd0004'); BC_DeleteSvc('BDArKit'); BC_DeleteSvc('BDSafeBrowser'); BC_DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.443\baiduprotect.exe'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDKitUtils.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\ad.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\7z.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\BDMNet.dll'); BC_DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.443\DriverManager.dll'); BC_DeleteFile('C:\Windows\system32\drivers\BDSafeBrowser.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys'); BC_DeleteFile('C:\Windows\system32\DRIVERS\bd0001.sys'); BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Обновите базы AVZ
Сделайте новые логи и прикрепляйте их на форуме
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Кнопка Расширенный режим и значок скрепкиСообщение от thyrex
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
система win7 x64
- - - - -Добавлено - - - - -
Файл сохранён как 141008_072401_virusinfo_autoquarantine_5434e691278 44.zip
Размер файла 524809
MD5 1beccc7b963e6803b8ea58dce9cf6d5f
Поместите в карантин МВАМ всё найденное
Пересоздайте ярлыки
Пофиксите в HiJackC:\Users\Maestro\AppData\Roaming\Microsoft\Interne t Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\649e8f896bb22c10\Yande x.lnk
C:\Users\Maestro\AppData\Roaming\Microsoft\Interne t Explorer\Quick Launch\User Pinned\StartMenu\Yandex (2).lnk
C:\Users\Maestro\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Maestro\AppData\Roaming\Microsoft\Windows \Start Menu\Programs\Internet Explorer (64-bit).lnk
C:\Users\Maestro\Desktop\МИХАИЛ\Yandex (2).lnk
Удалите файлыКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b7ec3134f04bf704d72350611985bf13&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b7ec3134f04bf704d72350611985bf13&text={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
и папкиC:\Windows\system32\drivers\BDArKit.sys
C:\Windows\system32\drivers\bd0001.sys
C:\Windows\system32\bd64_x86.dll
C:\Windows\system32\bd64_x64.dll
C:\Windows\system32\drivers\BDSafeBrowser.sys
C:\Windows\system32\drivers\bd0004.sys
C:\Program Files (x86)\Uninstall.bat
C:\Users\Maestro\AppData\Roaming\Uninstall.bat
C:\ProgramData\help.bat
C:\launcher.bat
C:\firefox.bat
C:\JadeEmpireLauncher.bat
C:\sllauncher.bat
C:\Program Files (x86)\Uplay.bat
C:\Users\Maestro\AppData\Roaming\Minecraft Launcher.bat
C:\Users\Maestro\AppData\Roaming\Mail.RU NewGamesT
C:\Users\Maestro\AppData\Roaming\Microsoft DB
C:\Users\Maestro\AppData\Roaming\GemWare
C:\Users\Maestro\AppData\Roaming\ICL
C:\Program Files (x86)\ШоппингГид
C:\Users\Maestro\AppData\Roaming\newSI_9
C:\Users\Maestro\AppData\Roaming\newSI_10
C:\Users\Maestro\AppData\Roaming\Baidu
C:\ProgramData\Baidu
C:\Program Files (x86)\baidu
C:\Users\Maestro\AppData\Roaming\newSI_4396
C:\Users\Maestro\AppData\Roaming\DSite
C:\Users\Maestro\AppData\Roaming\DigitalSites
C:\Program Files (x86)\Movies Toolbar
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
сделал. сможете помочь с расшифровкой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Не помогло..
Значит с расшифровкой не поможем.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
http://support.kaspersky.ru/viruses/disinfection/10556 пробуйте еще раз
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\users\maestro\appdata\roaming\microsoft\windows \start menu\programs\startup\aa_v3.exe - not-a-virus:RemoteAdmin.Win32.Ammyy.hq ( DrWEB: Program.RemoteAdmin.745 )
- c:\users\maestro\appdata\roaming\newsi_10\s_inst.e xe - not-a-virus:AdWare.Win32.MMag.k ( DrWEB: Adware.Plugin.248, BitDefender: Adware.Generic.1036930 )
Уважаемый(ая) fakirki, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
