Доброе утро.
Есть комп на котором, как, к сожалению, у многих тут, куча зашифрованных файлов после открытия типа "важного" письма. Помогите вернуть информацию.
Спасибо.
Образец сжатого файла.zip
hijackthis.log.zip
avz_log.txt.zip
Доброе утро.
Есть комп на котором, как, к сожалению, у многих тут, куча зашифрованных файлов после открытия типа "важного" письма. Помогите вернуть информацию.
Спасибо.
Образец сжатого файла.zip
hijackthis.log.zip
avz_log.txt.zip
Уважаемый(ая) Igor_S, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Перечитайте правила и пришлите нужные логи AVZ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день.
Извиняюсь.
Вроде переделал по правилам...
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log 2.zip
Выполните скрипт в AVZ
Будет выполнена перезагрузка компьютера.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\1\appdata\roaming\digitalsites\updateproc\updatetask.exe',''); QuarantineFile('C:\Users\1\AppData\Local\Video Camera\{CE497E01-AEE9-0490-DFBB-1DF3830A8C34}\tkv.dll',''); QuarantineFile('C:\Users\1\AppData\Local\Video Camera\{CE497E01-AEE9-0490-DFBB-1DF3830A8C34}\VideoCamera.dll',''); QuarantineFile('C:\Program Files\SystemHealer\SystemHealer.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Users\1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('C:\Windows\system32\machineupper32.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\Ziwew\voim.exe',''); QuarantineFile('C:\Program Files\crss.exe',''); QuarantineFile('c:\Program Files\Optimizer Pro 3.11\OptProCrash.dll',''); TerminateProcessByName('c:\program files\dns unlocker\dnscontreras.exe'); QuarantineFile('c:\program files\dns unlocker\dnscontreras.exe',''); QuarantineFile('c:\windows\system32\machineupper32.exe',''); DeleteFile('c:\windows\system32\machineupper32.exe','32'); DeleteFile('c:\program files\dns unlocker\dnscontreras.exe','32'); DeleteFile('c:\Program Files\Optimizer Pro 3.11\OptProCrash.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Optimizer Pro'); DeleteFile('C:\Program Files\crss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr'); DeleteFile('C:\Users\1\AppData\Roaming\Ziwew\voim.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{4BF515BC-6607-D163-6802-3F2AAF7A18E7}'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32'); DeleteFile('C:\Windows\system32\machineupper32.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Users\1\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\PennyBee.job','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','32'); DeleteFile('C:\Program Files\SystemHealer\SystemHealer.exe','32'); DeleteFile('C:\Windows\Tasks\System HealerPeriod.job','32'); DeleteFile('C:\Windows\Tasks\System HealerStartUp.job','32'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32'); DeleteFile('C:\Windows\system32\Tasks\DNSCONTRERAS','32'); DeleteFile('C:\Windows\system32\Tasks\Optimizer Pro Schedule','32'); DeleteFile('C:\Windows\system32\Tasks\PennyBee','32'); DeleteFile('C:\Windows\system32\Tasks\System Healer Task','32'); DeleteFile('C:\Windows\system32\Tasks\System HealerPeriod','32'); DeleteFile('C:\Windows\system32\Tasks\SystemHealer Run Delay','32'); DeleteFile('C:\Users\1\AppData\Local\Video Camera\{CE497E01-AEE9-0490-DFBB-1DF3830A8C34}\VideoCamera.dll','32'); DeleteFile('C:\Users\1\AppData\Local\Video Camera\{CE497E01-AEE9-0490-DFBB-1DF3830A8C34}\tkv.dll','32'); DeleteFile('C:\Windows\system32\Tasks\Video Camera2','32'); DeleteFile('C:\Windows\system32\Tasks\Video Camera','32'); DeleteFile('C:\Users\1\appdata\roaming\digitalsites\updateproc\updatetask.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ
c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.Код:begin CreateQurantineArchive('c:\quarantine.zip'); end.
Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый вечер. Прошу прощения за долгие ответы. Комп не в моем распоряжении, приходится каждый раз просить его привезти
Скрипты выполнил, после этого еще раз выполнил стандартные скрипты.
virusinfo_syscure.zip
virusinfo_syscheck.zip
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день.
Проверку MBAM выполнил. Лог какой-то неправильный сохранился Придется переделывать
Последний раз редактировалось Igor_S; 08.02.2016 в 16:50.
Да, лог пустой
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день.
Сегодня еще раз выполнил проверку. Сохранение отчета в формате txt снова сохраняет пустой лог. Сохранил отчет в файле xml - все сохранилось как положено...
mbam.xml.zip
mdam.txt
Удалите в МВАМ все найденное
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Удаление выполнил, комп попросился на перезагрузку.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Выполнил. Логи в архиве.
Архив.zip
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: HKLM\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-2931970624-1295363422-3722973417-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION 2016-01-20 13:44 - 2016-01-20 13:44 - 0927422 _____ () C:\Program Files\desk.bmp 2016-01-20 13:44 - 2016-01-20 13:44 - 0149043 _____ () C:\Program Files\desk.jpg 2015-06-02 18:08 - 2015-06-07 02:29 - 0000000 _____ () C:\Users\1\AppData\Roaming\adobesystem.log Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый день.
Действия выполнил. Лог во вложении.
Fixlog_11-02-2016_11-17-10.txt
C расшифровкой не поможем
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Добрый вечер.
Вообще никаких шансов? В "Помогите+" то же не помогут?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Жаль.
Спасибо большое за Вашу попытку помочь!!!
Уважаемый(ая) Igor_S, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.