Приветствую всех!
Помогите пожалуйста разобраться со злосчастным "шифровальщиком"
Файл прислали по почте, который девочка и запустила.
Зараза и зашифрованный ею docx в приложении
Так же зараза зашифровала pdf, jpg, zip и прочие файлы и архивы
Приветствую всех!
Помогите пожалуйста разобраться со злосчастным "шифровальщиком"
Файл прислали по почте, который девочка и запустила.
Зараза и зашифрованный ею docx в приложении
Так же зараза зашифровала pdf, jpg, zip и прочие файлы и архивы
Последний раз редактировалось thyrex; 01.09.2015 в 19:40.
Уважаемый(ая) pavelpro, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
AVZ и hijackthis логи во вложении
- - - - -Добавлено - - - - -
вложение письма, содержащее зловещий JS
Последний раз редактировалось thyrex; 02.09.2015 в 20:49.
Предупреждение
Еще раз прилепите архив с вирусом, пойдете отдыхать
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\support\couponsupport.exe',''); QuarantineFile('C:\Windows\System32\BkarjHveBKgAAm.exe',''); QuarantineFile('C:\Users\yulia\AppData\Local\ConvertAd\ConvertAd.exe',''); DeleteFile('C:\Users\yulia\AppData\Local\ConvertAd\ConvertAd.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ConvertAd','command'); DeleteFile('C:\Windows\System32\BkarjHveBKgAAm.exe','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('c:\support\649636217.ini','32'); DeleteFile('C:\Windows\Tasks\couponsupport-S-649636217.job','64'); DeleteFile('c:\support\couponsupport.exe','32'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Прилагал зловредный файл, т.к. он содержит исходник вируса, по которому можно понять алгоритм шифрования. Прошу прощения, больше не буду.
Логи во вложении
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Извеняюсь что долго не отвечал. Не было доступа к компу.
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://istart.webssearches.com/web/?type=ds&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1410940397&from=exp&uid=HitachiXHDS721050CLA660_JP1572FL1EHV3K1EHV3KX&q={searchTerms} Toolbar: HKU\S-1-5-21-318246820-3609032831-2240919362-1136 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-318246820-3609032831-2240919362-1136 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File R1 {2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64; C:\Windows\System32\drivers\{2f0ff925-183b-4210-98f5-cb2ffd917f2b}Gw64.sys [44728 2014-09-16] (StdLib) R1 {5eeb83d0-96ea-4249-942c-beead6847053}Gw64; C:\Windows\System32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys [44696 2014-09-18] (StdLib) S1 BeTwinSystem; System32\Drivers\BeTwinSystemVS.sys [X] S1 ttnfd; system32\drivers\ttnfd.sys [X] 2015-09-01 10:35 - 2015-09-01 10:35 - 00004794 _____ C:\Users\yulia\Downloads\о задолженности (Мебиус Телеком).zip C:\Users\yulia\AppData\Local\Temp\20795805.exe C:\Users\yulia\AppData\Local\Temp\66511155.exe C:\Users\yulia\AppData\Local\Temp\77234609.exe C:\Users\yulia\AppData\Local\Temp\88593906.exe C:\Users\yulia\AppData\Local\Temp\zx_brwsr.exe Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
во вложении
С расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
А по исходнику зловредного JS скрипта, не поможете?
Нет
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) pavelpro, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.