xsmail@india шифровальщик
Шифровальщик начал шифровать всё что было доступно пользователям, нетронул только папки с закрытым для них доступом
помогите
ссылка на один из зашифрованных файлов - http://my-files.ru/cu1mv2
xsmail@india шифровальщик
Шифровальщик начал шифровать всё что было доступно пользователям, нетронул только папки с закрытым для них доступом
помогите
ссылка на один из зашифрованных файлов - http://my-files.ru/cu1mv2
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) porodem, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузите вручную. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); QuarantineFile('C:\Users\Экономист_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судебная повестка по гражданскому делу №18947.exe',''); DeleteFile('C:\Users\Экономист_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Судебная повестка по гражданскому делу №18947.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
Новые логи нужны не через терминальную сессию!Код:O4 - S-1-5-21-50671806-1557283285-1466448027-1024 Startup: xsmail.bmp (User 'Экономист_2') O4 - S-1-5-21-50671806-1557283285-1466448027-1024 Startup: Судебная повестка по гражданскому делу №18947.exe (User 'Экономист_2') O4 - S-1-5-21-50671806-1557283285-1466448027-1024 User Startup: xsmail.bmp (User 'Экономист_2') O4 - S-1-5-21-50671806-1557283285-1466448027-1024 User Startup: Судебная повестка по гражданскому делу №18947.exe (User 'Экономист_2')
Письмо через которого поймали шифратора сохранилось?
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполнил первый указанный скрипт локально с правами администратора и перезагрузил компьютер. Карантин согласно инструкции отправить не получается, так как в окне карантина АВЗ нет файлов.
указанные ниже строки в списке программы HiJackThis после перезагрузки отсутствуют.
Письмо с вредителем к сожалению не сохранилось, пользователь удалил его...Код HTML:O4 - S-1-5-21-50671806-1557283285-1466448027-1024 Startup: xsmail.bmp (User 'Экономист_2') O4 - S-1-5-21-50671806-1557283285-1466448027-1024 Startup: Судебная повестка по гражданскому делу №18947.exe (User 'Экономист_2') O4 - S-1-5-21-50671806-1557283285-1466448027-1024 User Startup: xsmail.bmp (User 'Экономист_2') O4 - S-1-5-21-50671806-1557283285-1466448027-1024 User Startup: Судебная повестка по гражданскому делу №18947.exe (User 'Экономист_2')
Хочу заметить, что файлы зашифровались лишь в тех папках куда имел доступ пользователь Экономист_2 под текущим пользователем файлы на рабочем столе нетронуты, т.к. пользователь Экономист_2 не имел сюда доступа.
файл C:\AdwCleaner\AdwCleaner[R0].txt после сканирования оказался зашифрован, отправляю с той же папки другой, который сформировался после повторного сканирования.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Сообщение после загрузки карантина по вашим инструкциям. Во вложении новый отчет с АДВ Клинера после перезагрузкиКод HTML:Файл успешно загружен MD5 карантина: 38E8CA4EDCFEBB11C00D8AC2D90001E2 Размер файла: 44006483 байт Ссылка на результаты анализа:Результаты анализа карантина Тема для обсуждения результатов анализа: Результаты анализа карантина Результаты анализа будут доступны через 20-30 минут. Если Вы указали свой email при загрузке, то по указанному адресу при завершении анализа будет выслано информационное сообщение.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Ваши права в разделе
Ответить с цитированием
