Добрый вечер,
схватили шифровальщика, что тот даже базы 1С зашифровал, не говоря уж а WORD, EXCEL файлах.
За компьютерам была девушка, даже не поняли, как все произошло...
Скидываю логи и очень надеюсь на Вашу помощь!
Добрый вечер,
схватили шифровальщика, что тот даже базы 1С зашифровал, не говоря уж а WORD, EXCEL файлах.
За компьютерам была девушка, даже не поняли, как все произошло...
Скидываю логи и очень надеюсь на Вашу помощь!
Уважаемый(ая) CrownFreak, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe',''); DeleteFile('C:\Users\Марина Викторовна\AppData\Local\Schedule\Schedule.exe','32'); QuarantineFile('C:\Program Files (x86)\youfiles\svchost.exe',''); QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL',''); QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL',''); DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32'); DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32'); DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32'); DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); DeleteFile('C:\Program Files (x86)\youfiles\svchost.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma'); DeleteFile('C:\windows\system32\Tasks\Daily Trigger ScheduleCD','64'); DeleteFileMask('C:\PROGRA~2\SupTab', '*', true); DeleteDirectory('C:\PROGRA~2\SupTab'); DeleteFileMask('C:\Program Files (x86)\youfiles', '*', true); DeleteDirectory('C:\Program Files (x86)\youfiles'); DeleteFileMask('C:\Users\Марина Викторовна\AppData\Local\Schedule', '*', true); DeleteDirectory('C:\Users\Марина Викторовна\AppData\Local\Schedule'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Сделайте такой лог
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
Удалите в MBAM все, кроме:Код:R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396344160&from=cor&uid=ST9320325AS_S2WN89K6XXXXS2WN89K6&q={searchTerms} O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - Global Startup: cimei.lnk = ?
Код:Files: 19 Trojan.Banker, C:\Program Files (x86)\Photo Stamp Remover\StampRemover.exe, , [02994aec314bd165c2fb1e9ae21e06fa],Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы2014-11-05 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ
Пришлите согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыИ я обнаружил подозрительный архив Attachment.zip
Удалите файлы:
Пересоздайте ярлыки:C:\Program Files (x86)\Mozilla Firefox\firefox.url
C:\Program Files (x86)\Google\Chrome\Application\chrome.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
- Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
- Распакуйте архив с утилитой в отдельную папку
- Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да- В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
- По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
- Прикрепите эти отчеты в вашей теме.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Данные строчки профиксил.
В MBAM все удалил, но появился еще один троян, который я тоже не стал пока удалять, чтобы ничего не испортить...
Карантины тоже отправил. В пути, прошел по папкам дальше и обнаружил файл svchost.exe, запаковал его в архив и отправил согласно пункту 2 в карантин 2014-11-05 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ\коллегия судебных приставов
Файлов в данных папках нет.
Удалите файлы:
C:\Program Files (x86)\Mozilla Firefox\firefox.url
C:\Program Files (x86)\Google\Chrome\Application\chrome.url
Ярлыки пересоздал
Папку удаляйте. С расшифровкой не поможем. У DrWeb есть небольшой прогресс в расшифровке файлов Cryakl, поэтому рекомендую обратиться в их техподдержку.05.11.2014 13:12:56 ----D---- C:\Program Files (x86)\Судебные решения РФ
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Thyrex, понимаете, вчера списывались со злоумышленником, он просит 10000р. а у нас нет денег ему отправить и не уверены в том что он отправит этот злодейский дешифратор нам, после перевода денег, а у нас на компьютере 1С и все важные документы....
И если не сложно, объясните пожалуйста, как грамотнее обратиться в доктор веб? Надо что-то покупать у них для обращения с помощью в расшифровке?
1. Покупаете лицензию на год на их антивирус, например здесь http://catalog.allsoft.ru/677/64025.И если не сложно, объясните пожалуйста, как грамотнее обратиться в доктор веб? Надо что-то покупать у них для обращения с помощью в расшифровке?
2. Пишите сюда https://support.drweb.com/new/free_u...=&for_decode=1 запрос и ждете ответа от их техподдержки.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- \attachment.scr - Trojan-Ransom.Win32.Cryakl.bo ( BitDefender: Trojan.GenericKD.1961352 )
- \svchost.exe - Trojan-Ransom.Win32.Cryakl.bo ( BitDefender: Gen:Variant.Strictor.64596, AVAST4: Win32:Malware-gen )
Уважаемый(ая) CrownFreak, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.