Шифровальщик xsmail@india [not-a-virus:RiskTool.Win32.AVDown.k, not-a-virus:HEUR:AdWare.Win32.DealPly.heur ]

[bench]

Висит сообщение с таким текстом и все файлы перекодированы. Attention! Your computer was attacked by virus-encoder. All your files are encrypted cryptografically strong, without the original key recovery impossible! To get the decoder and the original key, you need to write to us at the e- mail [email protected] with the subject "encryption" stating your id. Write on the case, do not waste your and our time on empty threats. Responses to letters only appropriate people are not adequate ignore. [email protected]

пару файлов: https://cloud.mail.ru/public/336587d...il%40india.com
https://cloud.mail.ru/public/b7222ac...il%40india.com

P/S/ хотел создать эту тему в разделе "Помогите+", для срочности, но не смог разобраться, как пополнить счёт. Очень сложно.

[Info_bot]

Уважаемый(ая) bench, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('H:\Program Files\аудио и видео скачивание\ie\x86\downloader.dll','');
 QuarantineFile('H:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('H:\Program Files\Google\chrome.bat','');
 QuarantineFile('H:\IEXPLORE.bat','');
 QuarantineFile('H:\Documents and Settings\Валя\Application Data\Browsers\exe.erolpxei.bat','');
 QuarantineFile('H:\Documents and Settings\LocalService\Local Settings\Application Data\gmsd_ru_171\upgmsd_ru_171.exe','');
 QuarantineFile('H:\Documents and Settings\Валя\Application Data\Browsers\exe.emorhc.bat','');
 DeleteFile('H:\Documents and Settings\Валя\Application Data\Browsers\exe.emorhc.bat','32');
 DeleteFile('H:\Documents and Settings\LocalService\Local Settings\Application Data\gmsd_ru_171\upgmsd_ru_171.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','upgmsd_ru_171.exe');
 DeleteFile('H:\Documents and Settings\Валя\Application Data\Browsers\exe.erolpxei.bat','32');
 DeleteFile('H:\IEXPLORE.bat','32');
 DeleteFile('H:\Program Files\Google\chrome.bat','32');
 DeleteFile('H:\DOCUME~1\Admin\APPLIC~1\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('H:\WINDOWS\Tasks\At1.job','32');
 DeleteFile('H:\Program Files\аудио и видео скачивание\ie\x86\downloader.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Сделайте новые логи по правилам

Сделайте логи RSIT
Сделайте лог Check Browsers' LNK

[bench]

Высылаю Вам логи RSIT и лог Check Browsers' LNK. Запрошенный карантин так же выслал.

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

Пофиксите в HiJack

Код:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=7270193b9ca75c898af1daaca6cbe3d1&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://fratgaser.biz/?searchid=1&l10n=ru&fromsearch=1&imsid=7270193b9ca75c898af1daaca6cbe3d1&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: PROMT - {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33} - (no file)
O2 - BHO: AVdowloads - {4F3C10F8-9B89-4A2E-B523-33F2FB682DC2} - (no file)

Удалите вручную

Код:

H:\IЕХPLОRЕ.bаt.exe
H:\Program Files\Torrent Search
H:\Documents and Settings\Валя\Application Data\eTranslator
H:\Documents and Settings\Валя\Application Data\Browsers

[bench]

В HiJack пофиксил, вручную удалил. Лог высылаю.

[bench]

Ничего так же не поменялось.(

[thyrex]

Вас какой лог просили прислать?

[bench]

Это не тот разве? Я проверю еще раз.

[mike 1]

Это не тот разве? Я проверю еще раз.

Не тот. Нужен такой ClearLNK-<Дата>.log. Внимательно читайте рекомендации.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 20
• В ходе лечения обнаружены вредоносные программы:
  
  1. h:\docume~1\admin\applic~1\dsite\update~1\update~1 .exe - not-a-virus:HEUR:AdWare.Win32.DealPly.heur
  2. h:\program files\аудио и видео скачивание\ie\x86\downloader.dll - not-a-virus:RiskTool.Win32.AVDown.k ( DrWEB: Trojan.Admess.4, BitDefender: Trojan.Generic.11473281 )