Добрый день.
Были подозреня на вирусы,но всё никак не проверил.
И вот сего утром Выскочил этот гад наружу.
на экране окошко крипто локер красное и отсчитывает время.
осталось 160 часов до уничтожения фаилов.
Кричать не буду,прошу помошь,подскажите что делать?
Так же делать логи ?
Зарание благодарен Владимир
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Владимир Буза, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Очень качественно загадили себе компьютер.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\wuapp.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\Utilman.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\TSTheme.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\taskkill.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\ntkrnlpa.exe',''); QuarantineFile('C:\Users\Metka\AppData\Local\SystemDir\nethost.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\mshta.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\icardagt.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\at.exe',''); QuarantineFile('C:\Program Files (x86)\help4u\help4u_notification_service.exe',''); QuarantineFile('C:\Program Files (x86)\coupons and fun\coupons_and_fun_notification_service.exe',''); DelBHO('{FCE3FA8B-BA81-467C-81D8-E43C00D1BC71}'); DelBHO('{11111111-1111-1111-1111-110611511123}'); DelBHO('{11111111-1111-1111-1111-110611191115}'); QuarantineFile('C:\Users\Metka\AppData\Roaming\tej\yisifa.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\WinTds\wintds.exe',''); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\takeown.exe',''); QuarantineFile('C:\Users\Metka\AppData\Local\Eption\65yfk3f1.dll',''); DeleteService('soalxlmb'); DeleteService('eahyplxd'); StopService('{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}Gw64'); StopService('{b9f73d40-1a45-43a0-9a38-3e55d05b3bd4}Gw64'); StopService('{b2aa7bb9-5668-402a-97c7-7dabffe0f82d}w64'); StopService('{b2aa7bb9-5668-402a-97c7-7dabffe0f82d}Gw64'); StopService('{b0ff63b8-ba6f-45bb-b13c-8474c0d8fc94}Gw64'); StopService('{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64'); StopService('{ab3b6fe8-8ffe-4d0c-aa1e-8030c4760982}Gw64'); StopService('{a2df9e48-ce26-4812-87d1-df6c5bed5ea9}Gw64'); StopService('{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64'); StopService('{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64'); StopService('{6b9234ab-d79f-41db-86f9-8be7a3e9ee74}Gw64'); StopService('{51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}Gw64'); StopService('{37853ded-5f26-4b06-88d4-a4f00ea1c972}Gw64'); StopService('{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64'); DeleteService('{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}Gw64'); DeleteService('{b9f73d40-1a45-43a0-9a38-3e55d05b3bd4}Gw64'); DeleteService('{b2aa7bb9-5668-402a-97c7-7dabffe0f82d}w64'); DeleteService('{b2aa7bb9-5668-402a-97c7-7dabffe0f82d}Gw64'); DeleteService('{b0ff63b8-ba6f-45bb-b13c-8474c0d8fc94}Gw64'); DeleteService('{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64'); DeleteService('{ab3b6fe8-8ffe-4d0c-aa1e-8030c4760982}Gw64'); DeleteService('{a2df9e48-ce26-4812-87d1-df6c5bed5ea9}Gw64'); DeleteService('{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64'); DeleteService('{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64'); DeleteService('{6b9234ab-d79f-41db-86f9-8be7a3e9ee74}Gw64'); DeleteService('{51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}Gw64'); DeleteService('{37853ded-5f26-4b06-88d4-a4f00ea1c972}Gw64'); DeleteService('{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64'); DeleteService('globalUpdatem'); DeleteService('globalUpdate'); StopService('MaintainerSvc6.89.573444'); DeleteService('MaintainerSvc6.89.573444'); TerminateProcessByName('c:\progra~2\youtub~1\youtubeacceleratorservice.exe'); QuarantineFile('c:\progra~2\youtub~1\youtubeacceleratorservice.exe',''); TerminateProcessByName('c:\users\metka\appdata\roaming\wintds\wintds.exe'); QuarantineFile('c:\users\metka\appdata\roaming\wintds\wintds.exe',''); TerminateProcessByName('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\mmc.exe'); QuarantineFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\mmc.exe',''); TerminateProcessByName('c:\programdata\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe'); QuarantineFile('c:\programdata\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe',''); TerminateProcessByName('c:\program files (x86)\senses\bc0a4064-916d-4450-9576-83b8e8d45d52-6.exe'); QuarantineFile('c:\program files (x86)\senses\bc0a4064-916d-4450-9576-83b8e8d45d52-6.exe',''); TerminateProcessByName('c:\program files (x86)\iwebar\839ac62c-3543-4dce-abf4-74492843eb53-6.exe'); QuarantineFile('c:\program files (x86)\iwebar\839ac62c-3543-4dce-abf4-74492843eb53-6.exe',''); DeleteFile('c:\program files (x86)\iwebar\839ac62c-3543-4dce-abf4-74492843eb53-6.exe','32'); DeleteFile('c:\program files (x86)\senses\bc0a4064-916d-4450-9576-83b8e8d45d52-6.exe','32'); DeleteFile('c:\programdata\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe','32'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\mmc.exe','32'); DeleteFile('c:\users\metka\appdata\roaming\wintds\wintds.exe','32'); DeleteFile('c:\progra~2\youtub~1\youtubeacceleratorservice.exe','32'); DeleteFile('C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe','32'); DeleteFile('C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe','32'); DeleteFile('C:\Windows\system32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{37853ded-5f26-4b06-88d4-a4f00ea1c972}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{6b9234ab-d79f-41db-86f9-8be7a3e9ee74}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{98e700ee-1d13-4cd6-97a6-d8d4d2f0a35b}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{a2df9e48-ce26-4812-87d1-df6c5bed5ea9}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{ab3b6fe8-8ffe-4d0c-aa1e-8030c4760982}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{b0ff63b8-ba6f-45bb-b13c-8474c0d8fc94}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{b2aa7bb9-5668-402a-97c7-7dabffe0f82d}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{b2aa7bb9-5668-402a-97c7-7dabffe0f82d}w64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{b9f73d40-1a45-43a0-9a38-3e55d05b3bd4}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{c0b542ce-0b43-4536-9ff3-886eaf9fb44c}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\eahyplxd.sys','32'); DeleteFile('C:\Windows\system32\drivers\soalxlmb.sys','32'); DeleteFile('C:\Users\Metka\AppData\Local\Eption\65yfk3f1.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ihsoft'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mmc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','mmc'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Command Processor','AutoRun'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Command Processor\','Autorun'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\takeown.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','takeown'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','wincl'); DeleteFile('C:\Users\Metka\AppData\Roaming\WinTds\wintds.exe','32'); DeleteFile('C:\Users\Metka\AppData\Roaming\tej\yisifa.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bino'); DeleteFile('C:\ProgramData\YTAHelper\YTAHelper.dll','32'); DeleteFile('C:\Program Files (x86)\iWebar\iWebar-bho.dll','32'); DeleteFile('C:\Program Files (x86)\Senses\Senses-bho.dll','32'); DeleteFile('C:\Windows\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-1.job','64'); DeleteFile('C:\Windows\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-11.job','64'); DeleteFile('C:\Windows\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-4.job','64'); DeleteFile('C:\Windows\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-5.job','64'); DeleteFile('C:\Windows\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-5_user.job','64'); DeleteFile('C:\Windows\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-6.job','64'); DeleteFile('C:\Windows\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-7.job','64'); DeleteFile('C:\Windows\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-1.job','64'); DeleteFile('C:\Windows\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-11.job','64'); DeleteFile('C:\Windows\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-3.job','64'); DeleteFile('C:\Windows\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-4.job','64'); DeleteFile('C:\Windows\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-5.job','64'); DeleteFile('C:\Windows\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-5_user.job','64'); DeleteFile('C:\Windows\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-6.job','64'); DeleteFile('C:\Windows\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-7.job','64'); DeleteFile('C:\Windows\Tasks\coupons_and_fun_notification_service.job','64'); DeleteFile('C:\Windows\Tasks\coupons_and_fun_updating_service.job','64'); DeleteFile('C:\Program Files (x86)\coupons and fun\coupons_and_fun_notification_service.exe','32'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','64'); DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','64'); DeleteFile('C:\Windows\Tasks\help4u_notification_service.job','64'); DeleteFile('C:\Windows\Tasks\help4u_updating_service.job','64'); DeleteFile('C:\Program Files (x86)\help4u\help4u_notification_service.exe','32'); DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Maintenance.job','64'); DeleteFile('C:\Windows\Tasks\SpeedUpMyPC Startup.job','64'); DeleteFile('C:\Windows\system32\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-1','64'); DeleteFile('C:\Windows\system32\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-11','64'); DeleteFile('C:\Windows\system32\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-4','64'); DeleteFile('C:\Windows\system32\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-5','64'); DeleteFile('C:\Windows\system32\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-5_user','64'); DeleteFile('C:\Windows\system32\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-6','64'); DeleteFile('C:\Windows\system32\Tasks\839ac62c-3543-4dce-abf4-74492843eb53-7','64'); DeleteFile('C:\Windows\system32\Tasks\at','64'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\at.exe','32'); DeleteFile('C:\Windows\system32\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-1','64'); DeleteFile('C:\Windows\system32\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-11','64'); DeleteFile('C:\Windows\system32\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-3','64'); DeleteFile('C:\Windows\system32\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-4','64'); DeleteFile('C:\Windows\system32\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-5','64'); DeleteFile('C:\Windows\system32\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-5_user','64'); DeleteFile('C:\Windows\system32\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-6','64'); DeleteFile('C:\Windows\system32\Tasks\bc0a4064-916d-4450-9576-83b8e8d45d52-7','64'); DeleteFile('C:\Windows\system32\Tasks\coupons_and_fun_notification_service','64'); DeleteFile('C:\Windows\system32\Tasks\coupons_and_fun_updating_service','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64'); DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64'); DeleteFile('C:\Windows\system32\Tasks\help4u_notification_service','64'); DeleteFile('C:\Windows\system32\Tasks\help4u_updating_service','64'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\icardagt.exe','32'); DeleteFile('C:\Windows\system32\Tasks\icardagt','64'); DeleteFile('C:\Windows\system32\Tasks\mmc','64'); DeleteFile('C:\Windows\system32\Tasks\mshta','64'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\mshta.exe','32'); DeleteFile('C:\Windows\system32\Tasks\nethost task','64'); DeleteFile('C:\Users\Metka\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\ntkrnlpa','64'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\ntkrnlpa.exe','32'); DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Maintenance','64'); DeleteFile('C:\Windows\system32\Tasks\SpeedUpMyPC Startup','64'); DeleteFile('C:\Windows\system32\Tasks\takeown','64'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\taskkill.exe','32'); DeleteFile('C:\Windows\system32\Tasks\taskkill','64'); DeleteFile('C:\Windows\system32\Tasks\TSTheme','64'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\TSTheme.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Utilman','64'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\Utilman.exe','32'); DeleteFile('C:\Windows\system32\Tasks\wecutil','64'); DeleteFile('C:\Windows\system32\Tasks\wuapp','64'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\wecutil.exe','32'); DeleteFile('C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\wuapp.exe','32'); DeleteFile('C:\Windows\system32\Tasks\YTAUpdate','64'); DeleteFile('C:\Windows\system32\Tasks\YTAUpdate_logon','64'); DeleteFile('C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll','32'); ExecuteSysClean; ExecuteRepair(15); ExecuteAVUpdate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
- Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Подробнее читайте в этом руководстве.
Обновите базы AVZ. Сделайте новые логи.Attention !!! Database was last updated 23.02.2014 it is necessary to update the database (via File - Database update)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Вроде как всё сделал ))
hijackthis.logvirusinfo_syscheck.zipAdwCleaner[S0].txt
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-2887504909-3133668627-3159378332-1000\...\Run: [vdixknaljk] => cmd /c start http://foretuned.com/ HKU\S-1-5-21-2887504909-3133668627-3159378332-1000\...\Policies\Explorer: [Run] "C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\takeown.exe" HKU\S-1-5-21-2887504909-3133668627-3159378332-1000\...\Command Processor: "C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\takeown.exe" <===== ATTENTION! HKU\S-1-5-21-2887504909-3133668627-3159378332-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Metka\AppData\Roaming\Microsoft\Windows\IEUpdate\takeown.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected <======= ATTENTION GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7df133b9-914c-404c-a10b-397e52c9d6ba} <======= ATTENTION (Policy restriction on IP) SearchScopes: HKU\S-1-5-21-2887504909-3133668627-3159378332-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2887504909-3133668627-3159378332-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms} CHR Extension: (Senses) - C:\Users\Metka\AppData\Local\Google\Chrome\User Data\Default\Extensions\icncamkooinmbehmkeilcccmoljfkdhp [2015-05-31] S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] 2015-05-31 14:31 - 2015-02-20 12:31 - 00000000 ____D () C:\Users\Metka\AppData\Local\SystemDir 2014-10-18 15:06 - 2014-10-18 15:06 - 1548192 _____ (Object Browser) C:\Users\Metka\AppData\Roaming\LGH.exe C:\Users\Metka\AppData\Local\Temp\nse155B.tmp.exe C:\Users\Metka\AppData\Local\Temp\nsi6C0F.tmp.exe Task: {2C466C2D-657F-43B1-9594-6FFF44DAD44B} - \wuapp No Task File <==== ATTENTION Task: {4C0A967F-BE2F-4922-A9F9-0ED565CCC46D} - \taskkill No Task File <==== ATTENTION Task: {617798D6-8C62-451F-BD48-B4CF5EC2898E} - \TSTheme No Task File <==== ATTENTION Task: {76F5F368-61B4-4C2A-BD05-68B19D2CB086} - \takeown No Task File <==== ATTENTION Task: {9A5765CF-F911-466E-BDBD-A694BD26A206} - \at No Task File <==== ATTENTION Task: {9DB9821A-42E9-4E92-B240-689BB0555BD8} - \NAPSTAT No Task File <==== ATTENTION Task: {BE1E6F50-6225-4EFC-BFFB-43C029A1629F} - \mmc No Task File <==== ATTENTION Task: {C8ABCCC0-15E1-41D4-B514-64ED6DB5539A} - \icardagt No Task File <==== ATTENTION Task: {CB7E04A8-1F8C-4E4A-904F-30AE4FB05FAF} - \Utilman No Task File <==== ATTENTION Task: {E753D07E-1DDD-4544-95AA-C00E24BBE78D} - \wecutil No Task File <==== ATTENTION Task: {F9591820-8AAB-4E4B-BEFF-D51DC179757C} - \mshta No Task File <==== ATTENTION Task: {FA53794B-C34B-4EB4-89A1-DF66B29F326E} - \ntkrnlpa No Task File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:56E2E879- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Какое расширение добавилось к зашифрованным файлам?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
ну к фото вроде jpg Но всё равно фото не показывает
Дополнительное расширение к зашифрованным какое-нибудь добавилось? Например, было 1.jpg, а стало 1.jpg.crypted.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
нет
Куда просили обращаться за дешифратором?
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
а можно по открытей вопрос.Сообщение от mike 1
- - - - -Добавлено - - - - -
Просили оплатить биткоинами.но я дальше не смотрел что к чему.я в этих делах не силён.
У вас файл с требованиями злоумышленников сохранился? Вообще по имеющиеся скудной информации даже тип шифровальщика нельзя определить.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Нет ничего не сохранилось вроде как.. выскочила программа на рабочий стол,крассная Crypto Locer и там было две конопочки. одно показывала какие файлы будут блокированны, вторая кнопочка была для оплты с биткоином. вы глядело это примерно вот так.
^F484B8B773DF2857BE46FFE49E9230AB939DBE26ADBFCE98A7^pimgpsh_fullsize_distr.png
Несколько файлов зашифрованных doc в архиве пришлите.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Уважаемый(ая) Владимир Буза, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
