Вирус-шифровальщик &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a m

**invazion** · 31.03.2016, 19:09

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
FDCC4C3801F60D76812E|0
на электронный адрес Korzhenevskiy.Kirsan[a]gmail.com

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 31.03.2016, 19:11

Уважаемый(ая) invazion, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 31.03.2016, 21:03

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DelBHO('{8530dddf-6c9b-4107-8e19-44ad843421ba}');
 QuarantineFile('C:\Program Files\MediaViewerV1\MediaViewerV1alpha184\ie\MediaViewerV1alpha184.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','');
 TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
 QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
 DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CSRSS');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Drivers\csrss.exe','32');
 DeleteFile('C:\Program Files\MediaViewerV1\MediaViewerV1alpha184\ie\MediaViewerV1alpha184.dll','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением в Вашей теме.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

**invazion** · 01.04.2016, 07:25

Логи

**thyrex** · 01.04.2016, 19:28

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

**invazion** · 01.04.2016, 19:55

готово

**thyrex** · 01.04.2016, 20:17

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
BHO: JQSIEStartDetectorImpl Class -> {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -> C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll => No File
Toolbar: HKU\S-1-5-21-1757981266-507921405-1177238915-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff => not found
CHR Extension: (Screeny) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bboodebagkbjfnkgefanjebjknclndfo [2014-04-24]
CHR Plugin: (Native Client) - C:\Program Files\Google\Chrome\Application\49.0.2623.110\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\49.0.2623.110\pdf.dll => No File
CHR Plugin: (Java Deployment Toolkit 6.0.170.4) - C:\Program Files\Java\jre6\bin\new_plugin\npdeploytk.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U17) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File
CHR Plugin: (Google Update) - C:\Program Files\Google\Update\1.3.21.153\npGoogleUpdate3.dll => No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll => No File
2016-03-31 16:59 - 2016-03-31 16:59 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\Odics
2016-03-31 16:58 - 2016-03-31 17:02 - 00000000 ____D C:\Documents and Settings\Admin\Local Settings\Application Data\YhlPack
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README9.txt
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README8.txt
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README7.txt
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README6.txt
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README5.txt
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README4.txt
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README3.txt
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README2.txt
2016-03-31 14:14 - 2016-03-31 14:14 - 00002714 ____C C:\README10.txt
2016-03-31 14:13 - 2016-04-01 00:08 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows
2016-03-31 14:13 - 2016-03-31 14:13 - 02202112 _____ C:\Documents and Settings\Admin\Мои документы\oghYzGcegoiWnWxLvD.pif
2016-03-31 16:57 - 2016-03-31 16:57 - 2359350 ____C () C:\Documents and Settings\Admin\Application Data\7554337775543377.bmp
AlternateDataStreams: C:\windows\system32\atifglpf.xml:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\atiicdxx.dat:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\atiiiexx.dll:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\ativvaxx.dat:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\Drivers\ativcaxx.cpa:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\Drivers\ativcaxx.vp:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\Drivers\ativckxx.vp:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\Drivers\ativdkxx.vp:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\Drivers\ativvpxx.vp:KAVICHS [74]
AlternateDataStreams: C:\windows\system32\Drivers\rimmptsk.sys:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin:id [32]
AlternateDataStreams: C:\Documents and Settings\Admin\Рабочий стол\llsupprt.dll:KAVICHS [458]
AlternateDataStreams: C:\Documents and Settings\Admin\Рабочий стол\Почта.lnk:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Рабочий стол\Ярлык для Bp.lnk:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Рабочий стол\Ярлык для Updater.lnk:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Рабочий стол\Ярлык для справки2004.lnk:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\+we25anrJWwgg5h+nWkSytl8fOtQaCnz4cwpybgdqbc=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\0l-6AvIbUQkVDZ7U1CUIOCpdyJZIlL9NU8kfMzVigOVhrtimmz+fhJquJSNQ7O0wKx3792ESAfSyF4hB6G6ra6DZWAIS5YTzIMziEXeZrYo=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\2+uNyOtAp8qde0uKHimrX3Hk4Xz6hkY-zErFtJK0fO2ldBQWNvhkDFOwNqtx5oqx8ri0cNtL+HiATVX3AnJ9gCRFh52TfRQ8g+Qdvlx0t64=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\2GVlg54hsqXhc8zinZkYT7I3+X-cTRmOYlgmjKAiu-qAHkoSEBWT4Cxy-Eiq5kiJ.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\5DbfR0WmEp+4rn8NrRHERChBAkPsIsesUQw6L78AFj4=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\6nwThOS2BeL+c0NH9VS8LMohbzCOB3xnBrwxKMvyCP3FlI1I36jfcDjWplMHB8ULBsW1ZwIUTbS-2aJYewb8NQ==.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\8Rj9y6emyJG2dQxS9YAvSZwL52p4ibJx7xldc50BLx0U-ZGBntGEpDiN2gcEJgga.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\aOFLN1ko0gsncMJqJb1LNDsep4-LZENAYIGmb3oSF2hwHkpRMj6B3ZDebu1dId7l.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\desktop.ini:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\EbV3lpH6Xod8Q851bOGW5aoWo7v-+f9SBs0meie4RmozD7qvjyzajOSMUDMX02pa7nmxv3X+XMXy3BQSMJYKfA==.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\En+PuOaLst0Dvjp5Z7ymWnLsZIfnhnO-CkfvUy64Rm2TI3Wgn-garBVgRPEjJyHU.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\FNauucZHC5Op01Vmn5DjccBBrsL9qB93lQXbQJd2hVoGJ4QpSRJzweYO0bX4ches5Jpv-NQg20hV6JPcGXijhA==.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\FyWIvIvBrJQNvuK2cROEC32cBjeiGiTz1q2QmOwl8klvQ3oMImp2oPNSNKvbnau+.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\HR8TB-R-Ni+S1mzPnUbedayHRSLsyMa4iVsrOtSJdqRiQdaUW41ClES0SNcVByGd.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\IJ1Cn1BkrTe1jXLbx6eDQocnU20zlFfN8V2Lx-MKdD9MdVt3x3iWJbYmiqAXnAyLGONDFnASEwmN7uh+MeQdhz2CsjEj84rLUl01m4VqsPpyB76PRvg50cSaITeQhsmY.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\ILwYrLXOC1UNSuvBzPFyMyAtX36GMXEu2bi5eOsC1ps=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\iVW6xmzJLIpl1ZOHEkZo21SR0T1HM0exKlHhwhY694NTqaF6FP8JkjLapJOzaFaP.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\J0RDlmp32Qgw04QgghS5DkUDc9MlF7GETEHKcaavlNGNwfDWUgrRt0XxOyWfA9ZH.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\jlcZ6p1da4QrAr-ZNEMGwHw63WTHL6gmTbZSBSg2F7i3mYt4bzvnWGCp3bne9jWqp3eTc1o8Vldn84pFlxFi-g==.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\NWqOPoRC4ttyHDWDMR1zY8ohqVorZDr6m7HAi5w4I58=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\OG+A4Bh-GKJRt1TVlsM1CScskd4TjJl00YalQKaW1KJOHMSKvBqSxZGD+eG+M7jFseqotczxmoHeWKr8bbU8637XPzbGCceAMPePSlpDqZVvMUHNItYd5XT3O73svbHcYKZNzyGNm-YS2ogikzhuIA==.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\oR2kbUjC4WgPTTOWby6UkhXSdZKyHuxWQwbDcWJpaYDZiM7Viz2RlCVe1UO1HlWQ7eHLh2mGaEnPn4lSXTeHhg==.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\P8dvpeaatSlYwLX5EZcxiBjEti8xPYp2OkcJ5tv0vWIijYC4oEbLBhFZ0KllX-zCKCOQS4i3KKPO9yoxkW9hjvF+b6ohFXk4LKhNcDzL2MU=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\PBMzFs5j8TjeX1feT2PrsGHGO3SI+GlQk2gYdMQJ7ujrgzlxH8TQ6Vj3mqgnRBKx.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\Pmj+8R1t+r0nan4HgboiHVC+Tc0Zu-bQdWej2Ot2WqcnQA8n2ZlOYhhpjHEIIHsu.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\QUFWfBaG9N1bUDJIHyVQSGOgr3kWn161xmjjoPhYe4Q=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\sBpIeSKB4Dd1yYJjM8vbOs2MF10Jw3lxnk58xNOuPUjbE23P8pGkr6nSw6QCB-74WPu+YUg1MTUteCrk+sxjEK3cZOv6HoRnsl2fHfpfqMM=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\sxz-XwRUFlFz4tXXsX+2KBneWTJ-gOiwRIxtB1qMhOo=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\uwh26AS+bl1fJSujJricmUhUxc0Y7IhMT2Q-6X+qU8FOLrvlQdxbQ7-tQ7yDshzX.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\Vjn6VwvGCh1U6-Dl-YO7BoB4OoRkjxSse21hkwtBPLWFdFHUB-Q6fuYv-CUIHKz9S2Zc4SYCXwlAdvQGp83dJw==.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\WIB6z2kP5xgoaZ1DDUwuKh5+0Y2O3pGEJK8FLUr0wME=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\xxwS0skJcv8P0G7z8Ju60gLaJpVMrEiwXlxsqcSbrIpghs4c+L2taEql4zOTbhxq.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\Y8A08XOrKMXmC0dpAFY7XK9F5u1QS3k+EkKE5DezrtV1nB3k1rFFR1rRw49ERPG0H9GPy8w9WzWXBEKFwIYQjjKi-iGIVwBjw5jPdmX9zpk=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\yCAt5Iup-rD66Uv9K6YB-R7YukWKV7dcYbLQmG-Y0eU=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [74]
AlternateDataStreams: C:\Documents and Settings\Admin\Мои документы\YjYErTK8SPP+hkjc+sAu7WpS8oaPi-ERhrSDxXGXaoo=.FDCC4C3801F60D76812E.better_call_saul:KAVICHS [138]
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

**invazion** · 01.04.2016, 20:48

Лог

**thyrex** · 01.04.2016, 22:00

С расшифровкой не поможем

**CyberHelper** · 01.04.2016, 22:10

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\all users\application data\drivers\csrss.exe - Trojan.Win32.Agent.neumtu
2. c:\documents and settings\all users\application data\windows\csrss.exe - Trojan.Win32.Fsysna.daaw

Вирус-шифровальщик &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;am p;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a mp;a m (заявка № 199071)

Опции темы