-
Junior Member
- Вес репутации
- 40
все ваши файлы зашифрованы [email protected] [not-a-virus:RiskTool.Win32.BitCoinMiner.dgj
]
При открытии Excel файлов сначала открывается сообщение что все ваши файлы зашифрованы, следом открывается нужный файл. Т.е. шифрование файлов не было, но эти сообщения мешают работать. Когда их закрываешь Excel спрашивает сохранить файл "ВСЕ_ВАШИ_ФАЙЛЫ_ЗАШИФРОВАНЫ.html"
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Rentast, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\RECEPTION\adobechecker.exe','');
DeleteFile('C:\Users\RECEPTION\adobechecker.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Updater Startup Utility','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи по правилам
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Файл с информацией о шифровании по прежнему открывается.
-
Media Buzz (HKLM\...\MediaBuzzV1mode6055) (Version: 1.1 - Media Buzz) <==== ATTENTION
Media Watch (HKLM\...\MediaWatchV1home853) (Version: 1.1 - Media Watch) <==== ATTENTION
Network System Driver (HKLM\...\inethnfd) (Version: 1.0.0.3001 - ) <==== ATTENTION
Trust Media Viewer (HKLM\...\TrustMediaViewerV1alpha510
(Version: 1.1 - Trust Media Viewer) <==== ATTENTION
VuuPC Packages (HKU\S-1-5-21-2452880344-932823467-3910578541-1000\...\VuuPC Packages) (Version: - ) <==== ATTENTION
удалите через Установку программ
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
HKLM\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
AutoConfigURL: [HKLM] => http://santanyr.com/presents/nyear2.roa
AutoConfigURL: [S-1-5-21-2452880344-932823467-3910578541-1000] => santanyr.com/presents/nyear2.roa
HKU\S-1-5-21-2452880344-932823467-3910578541-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF NetworkProxy: "autoconfig_url", "https://santanyr.com/presents/nyear.roa"
FF NetworkProxy: "type", 2
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-03-06]
CHR HKLM\...\Chrome\Extension: [aknocfmpokkoiglpneohbdckccikfogm] - C:\Program Files\MediaViewV1\MediaViewV1alpha5650\ch\MediaViewV1alpha5650.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [alabjeagigegpfgebgkgogiopcpgdgop] - C:\Program Files\TrustMediaViewerV1\TrustMediaViewerV1alpha5108\ch\TrustMediaViewerV1alpha5108.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [fgppengelajgcgoipfopmclmdljeemjo] - C:\Program Files\RichMediaViewV1\RichMediaViewV1release57\ch\RichMediaViewV1release57.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [fngijoolledmlbkghhoephfkaaogpccj] - C:\Program Files\MediaViewerV1\MediaViewerV1alpha297\ch\MediaViewerV1alpha297.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [gbpediagfldlbpccmcligkbjjepcaclh] - C:\Program Files\MediaWatchV1\MediaWatchV1home853\ch\MediaWatchV1home853.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [kojlolfddajddoofmfbaboogkbmgeeed] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta4646\ch\VideoPlayerV3beta4646.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [pjhppeglijpjoiggbdhkcncpginnbnjo] - C:\Program Files\MediaViewV1\MediaViewV1alpha3170\ch\MediaViewV1alpha3170.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [plaannlcobepnafdjphkfphdmbghjieh] - C:\Program Files\MediaBuzzV1\MediaBuzzV1mode6055\ch\MediaBuzzV1mode6055.crx [Not Found]
S1 nethfdrv; \??\C:\Windows\system32\drivers\nethfdrv.sys [X]
2015-02-18 17:51 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\Downloads\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:51 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\Documents\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:51 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\AppData\Roaming\Microsoft\Windows\Start Menu\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:49 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\AppData\Roaming\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\AppData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\RECEPTION\AppData\Local\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Public\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Public\Downloads\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\Downloads\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\Documents\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\Desktop\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\AppData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\AppData\Roaming\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default\AppData\Local\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\Downloads\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\Documents\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\Desktop\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\AppData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\AppData\Roaming\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Default User\AppData\Local\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:48 - 2015-02-18 17:47 - 00002084 _____ () C:\ProgramData\Microsoft\Windows\Start Menu\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Все пользователи\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Users\Public\Documents\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\ProgramData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Program Files\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:47 - 2015-02-18 17:47 - 00002084 _____ () C:\Program Files\Common Files\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html
2015-02-18 17:45 - 2015-03-04 17:35 - 00000000 ____D () C:\Users\RECEPTION\AppData\Roaming\02022015
2015-02-18 17:48 - 2014-04-25 09:36 - 00000000 __SHD () C:\Users\RECEPTION\AppData\Local\EmieSiteList
2015-02-18 17:47 - 2014-05-14 09:25 - 00000000 ____D () C:\Program Files\RichMediaViewV1
2015-02-18 17:47 - 2014-04-28 09:12 - 00000000 ____D () C:\Program Files\MediaBuzzV1
2015-02-18 17:47 - 2014-03-23 09:25 - 00000000 ____D () C:\Program Files\MediaWatchV1
2015-02-18 17:47 - 2014-02-28 19:25 - 00000000 ____D () C:\Program Files\MediaViewV1
2015-02-18 17:47 - 2014-02-24 08:43 - 00000000 ____D () C:\Program Files\MediaViewerV1
2015-02-18 17:47 - 2014-01-30 08:49 - 00000000 ____D () C:\Program Files\MediaPlayerV1
2015-02-18 17:47 - 2014-01-29 08:46 - 00000000 ____D () C:\Program Files\VideoPlayerV3
2015-02-18 17:47 - 2014-01-10 14:38 - 00000000 ____D () C:\Program Files\Mobogenie
Task: {9C81071B-B7B9-4D27-89C9-BC370190948B} - \tjubyjh No Task File <==== ATTENTION
Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
На часть программ система сказала что возможно они были удалены ранее. Сообщения про шифрование по прежнему открываются.
-
Новые логи по правилам сделайте
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DeleteFile('C:\Users\RECEPTION\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.html','32');
DeleteFile('C:\Users\RECEPTION\AppData\Roaming\newnext.me\nengine.dll','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Сделайте новые логи по правилам
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 40
Сейчас открывается одна пустая книга Excel (теперь без текста о шифровании) и одна та которую открываем.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- c:\users\reception\adobechecker.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.dgj ( DrWEB: Trojan.BtcMine.120, BitDefender: Generic.Malware.SFPHV.11C5B933, AVAST4: Win32:Malware-gen )
-