После распаковки спама зашифрованы все файлы на компьютере. На экране заставка "вирус эбола". проверил системный диск DrWeb Creit в безопасном режиме. Помогите с дешифровкой файлов.
После распаковки спама зашифрованы все файлы на компьютере. На экране заставка "вирус эбола". проверил системный диск DrWeb Creit в безопасном режиме. Помогите с дешифровкой файлов.
Уважаемый(ая) имярек, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
baidu antivirus сами устанавливали? Если нет, пробуйте удалить через Установку программ
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\AdTrustMedia\PrivDog\2.2.0.14\trustedads.dll',''); DelBHO('{1D355335-BE86-4418-AC98-2436CC3D6D74}'); QuarantineFile('C:\Program Files\Media Saver\Toolbar32.dll',''); DeleteService('Update Service for Media Saver'); QuarantineFile('C:\Program Files\Media Saver\Basement\ExtensionUpdaterService.exe',''); QuarantineFile('c:\program files\media saver\basement\mslsservice.exe',''); QuarantineFile('c:\program files\media saver\basement\mslserver.exe',''); TerminateProcessByName('c:\program files\media saver\basement\extensionupdaterservice.exe'); QuarantineFile('c:\program files\media saver\basement\extensionupdaterservice.exe',''); DeleteFile('c:\program files\media saver\basement\extensionupdaterservice.exe','32'); DeleteFile('C:\Program Files\Media Saver\Basement\ExtensionUpdaterService.exe','32'); DeleteFile('C:\Program Files\Media Saver\Toolbar32.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Пофиксите в HiJack
Сделайте новые логиКод:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1405272764&from=cor&uid=ST31000528AS_9VP9ZADZXXXX9VP9ZADZ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4a15dc92eec16537a73549bbfd52f817&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4a15dc92eec16537a73549bbfd52f817&text={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1405272764&from=cor&uid=ST31000528AS_9VP9ZADZXXXX9VP9ZADZ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1405272764&from=cor&uid=ST31000528AS_9VP9ZADZXXXX9VP9ZADZ&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1405272764&from=cor&uid=ST31000528AS_9VP9ZADZXXXX9VP9ZADZ&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1405272764&from=cor&uid=ST31000528AS_9VP9ZADZXXXX9VP9ZADZ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4a15dc92eec16537a73549bbfd52f817&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4a15dc92eec16537a73549bbfd52f817&text= R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - Startup: ebola.bmp O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=4a15dc92eec16537a73549bbfd52f817&text=
Сделайте лог полного сканирования МВАМ
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделал все по инструкции. Логи высылаю.Что делать с расшифровкой файлов?
Новые логи по правилам тоже просили сделать
Media Saver удалите через Установку программ
Поместите в карантин МВАМ только
Код:Registry Keys: 1 Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\launcher.exe, , [c7d4a59192ea45f19de2eafd46bda65a], Registry Values: 0 (No malicious items detected) Registry Data: 0 (No malicious items detected) Folders: 4 PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\images, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\js, , [acef92a487f588ae13bbe02b58abd62a], Files: 57 Trojan.Dropped, C:\Program Files\Multi Flash Kit\Files\CORE2\OntrackEasyRecovery\EasyRecovery.exe, , [5b4082b4dd9f93a3e648a451659c5da3], Trojan.Dropped, C:\Program Files\Multi Flash Kit\Files\CORE2\USBFlashinfo\rundll32.exe, , [28735adce894d75f9c92aa4b04fd0af6], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\Calendar.exe, , [b2e987affd7f181e95d4c621916f8d73], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\Clock.exe, , [990242f45923a88ef673cd1a15eb07f9], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\Control Panel.exe, , [2a714ee8770571c5d990856227d9fe02], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\CPU Meter.exe, , [72299f97106c3204cc9d95521ae6619f], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\CPU.exe, , [5942c670a7d5ba7ce782935411efe020], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\My Weather.exe, , [e0bb26107efecd69bbae44a38f711ae6], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\Notes White.exe, , [c2d951e53b41b0862247687f02fe07f9], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\Onedrive.exe, , [3f5c92a40e6e81b579f0ffe8b24efa06], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\Recyclebin.exe, , [c1da270f6c10aa8c3237f4f3817f8d73], Trojan.EOFail, C:\Windows.old\Program Files\Glass Gadgets FreeWay\Stats.exe, , [8714bf777dffbe784128796e8080ef11], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_ecijengmojcngjjgghkfkgbjoogmlngb_0.localstorage, , [7c1f3cfaf884a3934d3e52fc0003db25], PUP.Optional.CrossRider.A, C:\Windows\System32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633, , [f5a641f5ccb03bfb918fbfe1f410c937], Malware.Trace.E, C:\Users\DIMA\AppData\Roaming\ebola.bmp, , [900bef47b2cae74f19d2b1f130d4f30d], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\manifest.json, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\images\icon-128.png, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\images\icon-16.png, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\images\icon-48.png, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\js\background.js, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\js\content.js, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\js\library.js, , [acef92a487f588ae13bbe02b58abd62a], PUP.Optional.CinemaLoad.A, C:\Users\DIMA\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb\3.0.0.0_0\js\utils.js, , [acef92a487f588ae13bbe02b58abd62a],
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все сделал. Как дешифровать файлы?
Сделайте логи RSIT
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
требуемый лог RSIT
Папку C:\Users\DIMA\AppData\Roaming\Media Saver удалите
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 18
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) имярек, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.