Здравствуйте, зашифрованы все файлы. Пока причину не выяснили, то ли на флешке шифратор принесли, то ли на почту пришёл.
Здравствуйте, зашифрованы все файлы. Пока причину не выяснили, то ли на флешке шифратор принесли, то ли на почту пришёл.
Уважаемый(ая) microekspert, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('E:\autorun.inf',''); QuarantineFile('E:\start.exe',''); QuarantineFile('C:\Windows\SysWOW64\DirectDrawEx\DirectDrawEx.lnk',''); QuarantineFile('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif',''); QuarantineFileF('C:\Windows\system32\DirectDrawEx', '*', false,'', 0, 0); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\VAULT.hta',''); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta',''); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta','32'); DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-\VAULT.hta','32'); DeleteFile('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif','32'); DeleteFile('C:\Windows\SysWOW64\DirectDrawEx\DirectDrawEx.lnk','32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Приложите новый лог AVZ
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Нового лога нет, карантин прислал
Последний раз редактировалось microekspert; 26.02.2016 в 14:26.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Приложил
Знакома Вам?
AVZ выполнить следующий скрипт.Код:C:\QGNA\qgna.exe
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif'); QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta',''); QuarantineFile('C:\QGNA\qgna.exe',''); QuarantineFile('C:\Windows\SysWOW64\DirectDrawEx\DirectDrawEx.lnk',''); QuarantineFile('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif',''); DeleteFile('C:\Windows\system32\DirectDrawEx\DirectDrawEx.pif','32'); DeleteFile('C:\Windows\SysWOW64\DirectDrawEx\DirectDrawEx.lnk','32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте лог Check Browsers' LNK и приложите его в теме.
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Мне лично qgna.exe не знаком
(Погуглил, предположительно для майнинга биткоинов? Как недавно был пойман на этом utorrent)
Приложил...
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VAULT.hta [2016-02-26] () CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-2054965528-3274461310-2768301942-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] 2016-02-26 22:38 - 2015-11-03 09:16 - 00000000 ___SD C:\Windows\SysWOW64\DirectDrawEx Folder: C:\Users\User\psb2 Task: {DB227D53-EEEE-4D09-A9DF-D22CA2A6E6E4} - System32\Tasks\GameNet => C:\QGNA\qgna.exe C:\QGNA\qgna.exe C:\QGNA Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
прикрепляю
С расшифровкой не поможем.
P.S. Если у Вас есть лицензия на продукты Лаборатории Касперского, то можете попробовать создать запрос в тех. поддержку ЛК, с просьбой помочь расшифровать данные.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Спасибо за лечение
Копия всех фикснутых ресурсов в том числе вредоносного ПО, находиться в каталоге C:\FRST.
P.S. Заархивируйте каталог C:\FRST в zip c паролем virus, для того чтобы если потребуется что-то вернуть смогли это сделать.
Далее сам каталог C:\FRST удалите, для того чтобы исключить возможность, чтобы кто-нибудь не запустил шифровальщик еще раз.
Также убедитесь, чтобы отсутстовал каталог в системе:
Код:C:\Windows\system32\DirectDrawEx
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 10
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\directdrawex\directdrawex.pif - Trojan-Ransom.Win32.Scatter.b ( DrWEB: Trojan.Siggen6.23087 )
Уважаемый(ая) microekspert, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.