Доброго времени суток!
Был пойман шифровщик. На почту пришел файл, тут же открыл. Все файлы на компьютере теперь имеют расширение "breaking_bad".
Примеры:
"https://yadi.sk/d/3XKh6trQmDu37"
"https://yadi.sk/d/P16ott7tmDu2z"
"https://yadi.sk/d/k-aJj3GamDu2n"
Очень прошу помочь!
Заранее спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) itachiqwe, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\documents and settings\all users\application data\microsoft shield\svchost.exe');
QuarantineFile('c:\documents and settings\all users\application data\microsoft shield\svchost.exe','');
DeleteFile('c:\documents and settings\all users\application data\microsoft shield\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантиннад первым сообщением в Вашей теме.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
ShortcutWithArgument: C:\Documents and Settings\Cartman & Mina\Главное меню\Программы\Вконтакте.lnk -> C:\Documents and Settings\Cartman & Mina\Local Settings\Application Data\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137257923
ShortcutWithArgument: C:\Documents and Settings\Cartman & Mina\Главное меню\Программы\Одноклассники.lnk -> C:\Documents and Settings\Cartman & Mina\Local Settings\Application Data\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137257727
ShortcutWithArgument: C:\Documents and Settings\Cartman & Mina\Application Data\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mail.ru/cnt/8136
ShortcutWithArgument: C:\Documents and Settings\Cartman & Mina\Application Data\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk -> C:\Documents and Settings\Cartman & Mina\Local Settings\Application Data\Amigo\Application\vk.exe () -> hxxp://r.mail.ru/n137257923
ShortcutWithArgument: C:\Documents and Settings\Cartman & Mina\Application Data\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk -> C:\Documents and Settings\Cartman & Mina\Local Settings\Application Data\Amigo\Application\ok.exe () -> hxxp://r.mail.ru/n137257727
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\Temp:587EB586
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\Temp:587F3582
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\Temp:9AB338B9
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\Temp:FB1B13D8
Winlogon\Notify\reset5c:
SearchScopes: HKU\S-1-5-21-1614895754-436374069-682003330-1003 -> Yandex URL = hxxp://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYRU&apn_uid=34f5113f-1101-4b87-998d-19c38a177b4c&apn_sauid=7AE2D7FE-EF13-4B1F-8D59-22E40F56A867&
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-1614895754-436374069-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {89ee7477-62a4-4710-bf62-89a50744cdd1} -> No File
BHO: XTTBPos00 Class -> {055FD26D-3A88-4e15-963D-DC8493744B1D} -> No File
Toolbar: HKLM - No Name - {89ee7477-62a4-4710-bf62-89a50744cdd1} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-1614895754-436374069-682003330-1003 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKU\S-1-5-21-1614895754-436374069-682003330-1003 -> No Name - {855F3B16-6D32-4FE6-8A56-BBB695989046} - No File
Toolbar: HKU\S-1-5-21-1614895754-436374069-682003330-1003 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - No File
Toolbar: HKU\S-1-5-21-1614895754-436374069-682003330-1003 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-1614895754-436374069-682003330-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKU\S-1-5-21-1614895754-436374069-682003330-1003 -> No Name - {89EE7477-62A4-4710-BF62-89A50744CDD1} - No File
Toolbar: HKU\S-1-5-21-1614895754-436374069-682003330-1003 -> No Name - {8DEC4B69-27C4-405D-A37D-8D45C83F66AB} - No File
2015-12-10 13:39 - 2015-12-10 13:39 - 03932214 _____ C:\Documents and Settings\Cartman & Mina\Application Data\3343B8D23343B8D2.bmp
2015-12-10 13:39 - 2015-12-10 13:39 - 00000843 _____ C:\Documents and Settings\Cartman & Mina\Рабочий стол\README1.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README9.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README8.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README7.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README6.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README5.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README4.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README3.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README2.txt
2015-12-10 11:27 - 2015-12-10 11:27 - 00000843 _____ C:\README10.txt
2011-03-24 13:39 - 2011-03-24 19:47 - 0004096 ____C () C:\Documents and Settings\Cartman & Mina\Application Data\netprotdrvss
C:\Documents and Settings\Cartman & Mina\Local Settings\Temp\AmigoDistrib.exe
C:\Documents and Settings\Cartman & Mina\Local Settings\Temp\amigo_setup.exe
C:\Documents and Settings\Cartman & Mina\Local Settings\Temp\mailruhomesearch.exe
Reboot:
2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: