Junior Member
Вес репутации
30
Помогите пожалуйста , вирус зашифровал файлы и добавил расширение .crime (Windows7 x64)
На днях выхватил шифровальщика, по глупости, запустил неизвестное приложение. Все фотографии, текстовые документы получили расширение "crime". У меня стоял avast, которым я сделал полную проверку. Найдено была несколько вирусов. Проблема не решилась. После чего я удалил аваст, поставил касперского, провел полную проверку в безопасном режиме, так же было найдено и удалено несколько вирусов, однако проблему это опять не решило. Что можно сделать? Помогите пожалуйста.
Система 64-х разрядная
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) zadalesk , спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Здравствуйте,
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
QuarantineFile('C:\Users\Александр\AppData\Local\ProfitSaver\config.json','');
QuarantineFile('C:\Users\Александр\AppData\Local\ProfitSaver\stub.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\MyDesktop\linkme0120.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\tor\SSLEAY32.dll','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\tor\libevent-2-0-5.dll','');
QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
QuarantineFile('c:\users\Александр\appdata\roaming\tor\tor.exe','');
DeleteFile('C:\Users\Александр\AppData\Local\ProfitSaver\config.json','32');
DeleteFile('C:\Users\Александр\AppData\Local\ProfitSaver\stub.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\MyDesktop\linkme0120.exe','32');
DeleteFileMask('C:\Users\Александр\AppData\Roaming\MyDesktop', '*', true, ' ');
DeleteDirectory('C:\Users\Александр\AppData\Roaming\MyDesktop');
DeleteFileMask('C:\Users\Александр\AppData\Local\ProfitSaver', '*', true, ' ');
DeleteDirectory('C:\Users\Александр\AppData\Local\ProfitSaver');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MyDesktop');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ProfitSaver');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
- Подготовьте новый лог AVZ
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание : необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5" .
Нажмите кнопку Scan . После окончания сканирования будет создан отчет (FRST.txt ) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt ). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
AVZ выполнить следующий скрипт .
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
QuarantineFile('C:\Windows\taskmgr.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин " вверху темы.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\Policies\Explorer: []
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: {0b368d53-6be0-11df-834f-00242159c07e} - K:\Setup.exe
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: {28f5da97-698f-11e3-ac47-00242159c07e} - L:\iLinker.exe
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: {5a228814-2aaa-11e5-b327-001e101f7fb6} - F:\AutoRun.exe
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: {94553a53-aca3-11e0-88f1-00242159c07e} - F:\fscommand\LS_Start_Launch.cmd
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: {bf7ff3f5-2a11-11e5-bbe3-00242159c07e} - F:\AutoRun.exe
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: {bf7ff400-2a11-11e5-bbe3-00242159c07e} - F:\AutoRun.exe
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: {e2b19cd0-4c55-11e3-a400-00242159c07e} - F:\Startme.exe
HKU\S-1-5-21-202771895-2479421416-2840649287-1000\...\MountPoints2: {fe7204fa-4fd1-11e5-bf95-00242159c07e} - F:\fscommand\LS_Start_Launch.cmd
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-202771895-2479421416-2840649287-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
Toolbar: HKU\S-1-5-21-202771895-2479421416-2840649287-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
FF Extension: No Name - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\ntl19pxj.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\ntl19pxj.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\ntl19pxj.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\ntl19pxj.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
Folder: C:\Users\Александр\AppData\Roaming\CryptoDB
Folder: C:\Users\Александр\AppData\Roaming\Orion
2016-02-14 13:23 - 2016-02-14 13:23 - 00000189 _____ C:\Users\Александр\AppData\Local\Temp4dtdfqft.nb4.bat
2016-02-14 13:22 - 2016-02-14 17:36 - 00000000 ____D C:\Users\Александр\AppData\Roaming\FreeVPN
Folder: C:\Users\Александр\AppData\LocalLow\Unity
Folder: C:\Users\Александр\AppData\Local\Unity
2016-02-14 13:22 - 2016-02-14 13:22 - 00073216 _____ C:\Windows\taskmgr.exe
Folder: C:\Windows\PLAG
Folder: C:\Windows\Azart
2016-02-14 13:22 - 2016-02-14 13:22 - 00000000 ____D C:\Users\Александр\AppData\Roaming\MailProducts
2016-02-14 13:23 - 2016-02-14 13:23 - 0000189 _____ () C:\Users\Александр\AppData\Local\Temp4dtdfqft.nb4.bat
C:\Users\Александр\AppData\Local\Temp\AcDeltree.exe
C:\Users\Александр\AppData\Local\Temp\AmigoDistrib.exe
C:\Users\Александр\AppData\Local\Temp\CFD6.tmp.exe
C:\Users\Александр\AppData\Local\Temp\component.exe
C:\Users\Александр\AppData\Local\Temp\drm_dyndata_7380012.dll
C:\Users\Александр\AppData\Local\Temp\FNP_ACT_InstallerCA.dll
C:\Users\Александр\AppData\Local\Temp\FP_AX_MSI_INSTALLER.exe
C:\Users\Александр\AppData\Local\Temp\FreeVPNSetup.exe
C:\Users\Александр\AppData\Local\Temp\gert0.exe
C:\Users\Александр\AppData\Local\Temp\haspdinst_x64.exe
C:\Users\Александр\AppData\Local\Temp\hcv_mailruhomesearch (1).exe
C:\Users\Александр\AppData\Local\Temp\hcv_mailruhomesearch.exe
C:\Users\Александр\AppData\Local\Temp\installerdll1032015.dll
C:\Users\Александр\AppData\Local\Temp\installerdll1038156.dll
C:\Users\Александр\AppData\Local\Temp\installerdll1377281.dll
C:\Users\Александр\AppData\Local\Temp\installerdll1378937.dll
C:\Users\Александр\AppData\Local\Temp\installerdll1387109.dll
C:\Users\Александр\AppData\Local\Temp\installerdll2151453.dll
C:\Users\Александр\AppData\Local\Temp\InstallManager_GEN_GEN.exe
C:\Users\Александр\AppData\Local\Temp\jre_setup.exe
C:\Users\Александр\AppData\Local\Temp\MSN57C1.exe
C:\Users\Александр\AppData\Local\Temp\OriginLauncher1377281.exe
C:\Users\Александр\AppData\Local\Temp\ose00000.exe
C:\Users\Александр\AppData\Local\Temp\rootsupd.exe
C:\Users\Александр\AppData\Local\Temp\Setup-praetorian.exe
C:\Users\Александр\AppData\Local\Temp\Setup-yabrowser.exe
C:\Users\Александр\AppData\Local\Temp\Setup.exe
C:\Users\Александр\AppData\Local\Temp\stub.exe
C:\Users\Александр\AppData\Local\Temp\Uninstall.exe
C:\Users\Александр\AppData\Local\Temp\utt1BBE.tmp.exe
C:\Users\Александр\AppData\Local\Temp\utt4B8A.tmp.exe
C:\Users\Александр\AppData\Local\Temp\uttCCED.tmp.exe
C:\Users\Александр\AppData\Local\Temp\uttF1BA.tmp.exe
C:\Users\Александр\AppData\Local\Temp\vcredist_x64.exe
C:\Users\Александр\AppData\Local\Temp\vcredist_x86.exe
CustomCLSID: HKU\S-1-5-21-202771895-2479421416-2840649287-1000_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe => No File
CustomCLSID: HKU\S-1-5-21-202771895-2479421416-2840649287-1000_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe /Automation => No File
AlternateDataStreams: C:\Program Files\Common Files\Microsoft Shared:uaKb93Zl9LcJckPPJXXhQREGi
AlternateDataStreams: C:\ProgramData\Microsoft:2R9oxfwqoA34iYfb
AlternateDataStreams: C:\ProgramData\Microsoft:QKSYvojdIe40ZliIMYP0
AlternateDataStreams: C:\Users\Александр\Cookies:i408kAx4PviBvW0YtNe60K
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:2R9oxfwqoA34iYfb
AlternateDataStreams: C:\Users\Все пользователи\Microsoft:QKSYvojdIe40ZliIMYP0
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
Знаком ли Вам следующий каталог?
C:\Users\Александр\AppData\Roaming\CryptoDB
Каталог со следующим содержимым:
========================= Folder: C:\Users\Александр\AppData\Roaming\CryptoDB ========================
2016-02-14 17:29 - 2016-02-15 20:46 - 1186784 _____ () C:\Users\Александр\AppData\Roaming\CryptoDB\FindFI LES
2016-02-14 17:26 - 2016-02-14 17:26 - 0000352 _____ () C:\Users\Александр\AppData\Roaming\CryptoDB\UserID
2016-02-14 17:25 - 2016-02-15 19:59 - 0000352 _____ () C:\Users\Александр\AppData\Roaming\CryptoDB\xRealI P
====== End of Folder: ======
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
CreateRestorePoint:
2016-02-14 17:25 - 2016-02-14 17:29 - 00000000 ____D C:\Users\Александр\AppData\Roaming\CryptoDB
2016-02-14 13:23 - 2016-02-14 13:23 - 00000000 ____D C:\Users\Александр\AppData\Roaming\Orion
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt) . Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен .
С рашифровкой не поможем.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Junior Member
Вес репутации
30
Вложения
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 6 В ходе лечения вредоносные программы в карантинах не обнаружены