Добрый день. Вирус зашифровал файлы на ПК.
Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:
728927A952FD81F6A33A|0
на электронный адрес [email protected] или [email protected] .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Помогите в решении проблемы.
Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sheff78, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\DOM\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe',''); QuarantineFile('C:\Users\DOM\AppData\Local\Microsoft\Extensions\safebrowser.exe',''); QuarantineFile('C:\Users\DOM\AppData\Local\SystemDir\nethost.exe',''); QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe',''); QuarantineFile('C:\Users\DOM\AppData\Local\Microsoft\Extensions\extsetup.exe',''); QuarantineFile('C:\Windows\TEMP\USFIiEhFlU_269767\Rerun',''); DelBHO('{650C5FF5-AD35-418B-A818-F2E3572A5560}'); DelBHO('{AC2B9A87-4BC6-4F6C-B88A-09E2E6D708AB}'); QuarantineFile('C:\Program Files\saaaveitkeepa\k1eytqUkB2jyEj.dll',''); QuarantineFile('C:\Program Files\SaVerADdon\8FCFddfG9a1Yvj.dll',''); DeleteFile('C:\Program Files\SaVerADdon\8FCFddfG9a1Yvj.dll','32'); DeleteFile('C:\Program Files\saaaveitkeepa\k1eytqUkB2jyEj.dll','32'); DeleteFile('C:\Windows\TEMP\USFIiEhFlU_269767\Rerun','32'); DeleteFile('C:\Windows\Tasks\advPlugin.job','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Maintenance.job','32'); DeleteFile('C:\Program Files\Uniblue\PC-Mechanic\pc-mechanic.exe','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Startup.job','32'); DeleteFile('C:\Windows\Tasks\PC-Mechanic Subscription.job','32'); DeleteFile('C:\Windows\system32\Tasks\advPlugin','32'); DeleteFile('C:\Users\DOM\AppData\Local\Microsoft\Extensions\extsetup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\extsetup','32'); DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','32'); DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','32'); DeleteFile('C:\Windows\system32\Tasks\nethost task','32'); DeleteFile('C:\Users\DOM\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32'); DeleteFile('C:\Users\DOM\AppData\Local\Microsoft\Extensions\safebrowser.exe','32'); DeleteFile('C:\Users\DOM\AppData\Roaming\istartsurf\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{286F6E63-942A-4DB3-BF4B-CC2AAAF0D76A}','32'); DeleteFile('C:\Users\DOM\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(14); RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Каранин загружен. Новые логи.
Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово.
Лог FRST.txt где?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прошу прощения. Вот он.
Добрый день. Я все прислал.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-488050749-177611180-1338099529-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427436451&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427436451&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427436451&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969&q={searchTerms} HKU\S-1-5-21-488050749-177611180-1338099529-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p HKU\S-1-5-21-488050749-177611180-1338099529-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/ru-ru/?ocid=iehp HKU\S-1-5-21-488050749-177611180-1338099529-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427436451&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-488050749-177611180-1338099529-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=openpart SearchScopes: HKU\S-1-5-21-488050749-177611180-1338099529-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=free&utm_campaign=install_ie&utm_content=ds&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969&ts=1427436472&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-488050749-177611180-1338099529-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=free&utm_campaign=install_ie&utm_content=ds&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969&ts=1427436472&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-488050749-177611180-1338099529-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=free&utm_campaign=install_ie&utm_content=ds&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969&ts=1427436472&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-488050749-177611180-1338099529-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = http://go-search.ru/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-488050749-177611180-1338099529-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=free&utm_campaign=install_ie&utm_content=ds&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969&ts=1427436472&type=default&q={searchTerms} Handler: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1427436451&from=free&uid=WDCXWD2500BEVS-22UST0_WD-WXE608K9496994969 OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\DOM\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-27] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\DOM\AppData\Roaming\Opera Software\Opera Stable\Extensions\baohinapilmkigilbbbcccncoljkdpnd [2015-04-07] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\DOM\AppData\Roaming\Opera Software\Opera Stable\Extensions\bhnpmdabjgpimmnbmhefncbghknfegog [2015-06-22] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\DOM\AppData\Roaming\Opera Software\Opera Stable\Extensions\denjcdefjebbmlihdoojnebochnkgcin [2015-06-17] OPR Extension: (SL Google Chrome™) - C:\Users\DOM\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmglolhoplikcoamfgjgammjbgchgjdd [2015-07-02] OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\DOM\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-06-02] 2015-07-30 02:27 - 2015-07-30 02:28 - 00000000 ___DC C:\Program Files\saaaveitkeepa 2015-07-30 02:27 - 2015-07-30 02:27 - 00000000 ___DC C:\Users\Все пользователи\hlmbdghpifdgmikebebkmgjbejcfihmb 2015-07-30 02:27 - 2015-07-30 02:27 - 00000000 ___DC C:\ProgramData\hlmbdghpifdgmikebebkmgjbejcfihmb 2015-07-30 00:32 - 2015-07-30 00:32 - 03148854 ____C C:\Users\DOM\AppData\Roaming\3ED8D82C3ED8D82C.bmp 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README9.txt 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README8.txt 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README7.txt 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README6.txt 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README5.txt 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README4.txt 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README3.txt 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README2.txt 2015-07-30 00:22 - 2015-07-30 00:22 - 00000897 ____C C:\Users\DOM\Desktop\README10.txt 2015-07-29 21:12 - 2015-07-30 22:54 - 00000000 _SHDC C:\Users\Все пользователи\Windows 2015-07-29 21:12 - 2015-07-30 22:54 - 00000000 _SHDC C:\ProgramData\Windows 2015-07-16 16:11 - 2015-07-30 00:17 - 00000000 ___DC C:\Users\Все пользователи\nepfgdcahfmjfogdcfpeipbcpcamjiji 2015-07-16 16:11 - 2015-07-30 00:17 - 00000000 ___DC C:\ProgramData\nepfgdcahfmjfogdcfpeipbcpcamjiji 2015-07-16 16:11 - 2015-07-16 16:11 - 00000000 ___DC C:\Program Files\SaVerADdon 2015-07-07 06:18 - 2015-06-15 13:56 - 00000000 ___DC C:\Program Files\WoWWCoupon 2015-07-07 06:17 - 2015-06-27 11:45 - 00000000 ___DC C:\Program Files\saveerOn 2015-07-07 06:17 - 2015-06-27 11:44 - 00000000 ___DC C:\Program Files\saavoeron 2015-07-07 06:17 - 2015-06-27 11:44 - 00000000 ___DC C:\Program Files\saaverone 2015-07-07 06:17 - 2015-06-15 13:56 - 00000000 ___DC C:\Program Files\Page Monitor 2015-07-07 06:17 - 2015-06-08 20:03 - 00000000 ___DC C:\Program Files\surfkeepiit 2015-07-07 06:17 - 2015-06-08 20:03 - 00000000 ___DC C:\Program Files\seurfkeEpIt 2015-07-07 06:17 - 2015-05-26 10:09 - 00000000 ___DC C:\Program Files\surrfkeeepiit 2015-07-07 06:17 - 2015-04-17 07:55 - 00000000 ___DC C:\Program Files\SOOftaCoupi 2015-07-07 01:50 - 2015-06-08 20:03 - 00000000 ___DC C:\Program Files\MaskMe 2015-07-07 01:50 - 2015-04-16 10:19 - 00000000 ___DC C:\Program Files\LighterProc 2015-07-07 01:33 - 2015-05-30 23:43 - 00000000 ___DC C:\Users\DOM\AppData\Local\Kometa Task: {1383DD1E-0C83-4175-ABFE-4953B4356937} - \nethost task No Task File <==== ATTENTION Task: {370D4A7A-5557-4CBD-A9CC-17AFB8BA72EB} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service No Task File <==== ATTENTION Task: {5515C0F6-C66C-47FD-A037-C123DDAE639E} - \{286F6E63-942A-4DB3-BF4B-CC2AAAF0D76A} No Task File <==== ATTENTION Task: {577ACFC6-DBFB-41A5-B5FC-6AC2B676932A} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION Task: {5A68F21A-933A-4253-9557-E1ECBBDB7A28} - \LaunchSignup No Task File <==== ATTENTION Task: {7978F44C-8557-40F7-A74F-91E45499DB67} - \Safebrowser No Task File <==== ATTENTION Task: {ACF1DB3C-2BB6-42A2-B50C-F3674B4327FB} - \KRB Updater Utility No Task File <==== ATTENTION Task: {EF1F0BB9-36E6-4E79-A266-91AD4C2EEE2C} - \extsetup No Task File <==== ATTENTION Reboot:
- Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Готово.
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\users\dom\appdata\local\microsoft\start menu\вoйти в интeрнeт.exe - not-a-virus:Downloader.Win32.LMN.afw ( DrWEB: Trojan.LoadMoney.491 )
Уважаемый(ая) Sheff78, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
