Добрый день!
Зашифровались файлы doc, docx, xls, xlsx и некоторые другие. Файлы стали примерно такого типа: UtnmCQiYX9rFpMGreQsWZpGleoUwR52etjyF1qmbAyo=.5D4C6 F4D81AA2BD4B7C5.better_call_saul
Помогите, пожалуйста, если получится.
Добрый день!
Зашифровались файлы doc, docx, xls, xlsx и некоторые другие. Файлы стали примерно такого типа: UtnmCQiYX9rFpMGreQsWZpGleoUwR52etjyF1qmbAyo=.5D4C6 F4D81AA2BD4B7C5.better_call_saul
Помогите, пожалуйста, если получится.
Уважаемый(ая) glprog, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила оформления запроса о помощи.
Здравствуйте!
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0); QuarantineFile('C:\Users\User\AppData\Local\Ipsoft\rnnciztk.dll',''); QuarantineFile('C:\Users\User\AppData\Local\Eption\hmtsaxdr.dll',''); QuarantineFile('C:\Users\User\AppData\Local\Ipsoft\vgmmevbz.dll',''); QuarantineFile('C:\Users\User\AppData\Local\Eption\vwqvumkf.dll',''); QuarantineFile('C:\Users\User\AppData\Local\Ipsoft\5F36B08D.exe',''); DeleteFile('C:\Users\User\AppData\Local\Ipsoft\5F36B08D.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Ipsoft'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Eption'); DeleteFile('C:\Users\User\AppData\Local\Eption\vwqvumkf.dll','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Owics'); DeleteFile('C:\Users\User\AppData\Local\Ipsoft\vgmmevbz.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Eption','command'); DeleteFile('C:\Users\User\AppData\Local\Eption\hmtsaxdr.dll','32'); DeleteFile('C:\Users\User\AppData\Local\Ipsoft\rnnciztk.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Owics','command'); DeleteFile('C:\Windows\system32\Tasks\BarCode Scanner','32'); DeleteFile('C:\Windows\system32\Tasks\Video Total','32'); DeleteFile('C:\Users\User\AppData\Local\BarCode Scanner\{6E4E4DB9-ACA9-1830-1DBE-BB6356621162}\BarCodeScanner.dll','32'); DeleteFile('C:\Users\User\AppData\Local\Video Total\{6E4E4DB9-ACA9-1830-1DBE-BB6356621162}\VideoTotal.dll','32'); ExecuteSysClean; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Готово
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполнил
Есть ли какая-нибудь надежда?
Нашими силами никаких.
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
- Временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: HKLM\...\Run: [rec_en_77] => [X] HKLM\...\Run: [Sound+] => "C:\Program Files\Sound+\Sound+.exe" GroupPolicy: Restriction - Chrome <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=ds&ts=1448951126&z=a62b8cca403d0ae5dc61fc6gezfz1b6t2w9e9m8b1b&from=face&uid=WDCXWD5000AAKX-00KJ3A0_WD-WCC2ERL2371123711&q={searchTerms} CHR DefaultSearchKeyword: Default -> istartsurf CHR Extension: (00AB04120438043704430430043B044C043D044B0435 04170430043A043B04300434043A043800BB 043E0442 Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\hcncjpganfocbfoenaemagjjopkkindp [2014-09-08] CHR Extension: (00AB04120438043704430430043B044C043D044B0435 04170430043A043B04300434043A043800BB 043E0442 Mail.Ru) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2014-07-18] S1 c3mse_vi; system32\DRIVERS\c3mse_vi.sys [X] S1 swsedrvr_vt_1_10_0_25; system32\drivers\swsedrvr_vt_1_10_0_25.sys [X] 2016-04-11 09:07 - 2016-04-12 09:09 - 00000000 ____D C:\Users\User\AppData\Local\Ipsoft 2016-04-11 09:07 - 2016-04-12 09:09 - 00000000 ____D C:\Users\User\AppData\Local\Eption 2016-04-11 09:06 - 2016-04-11 09:06 - 03932214 _____ C:\Users\User\AppData\Roaming\15FF9E7415FF9E74.bmp 2016-04-11 04:03 - 2016-04-11 04:03 - 00002084 _____ C:\Users\User\AppData\Roaming\HaramProfAlmirah 2016-04-09 10:01 - 2016-04-09 10:01 - 00007168 _____ (Valve Corporation) C:\Users\User\AppData\Roaming\victors.dll 2016-04-08 16:33 - 2016-04-11 10:31 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-04-08 16:33 - 2016-04-11 10:31 - 00000000 __SHD C:\ProgramData\Windows C:\Users\User\AppData\Local\Temp\5F36B08D.exe C:\Users\User\AppData\Local\Temp\98009E0C-FCB9-473B-83E2-F080FCBB335C.exe C:\Users\User\AppData\Local\Temp\AmigoDistrib.exe C:\Users\User\AppData\Local\Temp\amigo_setup.exe C:\Users\User\AppData\Local\Temp\avgnt.exe C:\Users\User\AppData\Local\Temp\component.exe C:\Users\User\AppData\Local\Temp\DA618D58-A099-422B-89E0-2FD7B0795127.exe C:\Users\User\AppData\Local\Temp\dist-X.Y.Z.exe C:\Users\User\AppData\Local\Temp\downloader.exe C:\Users\User\AppData\Local\Temp\GUR70AC.exe C:\Users\User\AppData\Local\Temp\icb38.exe C:\Users\User\AppData\Local\Temp\search (1).exe C:\Users\User\AppData\Local\Temp\search.exe C:\Users\User\AppData\Local\Temp\tmpB4EC.tmp.exe C:\Users\User\AppData\Local\Temp\UmmyVideoDownloader.exe C:\Users\User\AppData\Local\Temp\Uninstall.exe C:\Users\User\AppData\Local\Temp\UninstallSer.exe Task: {71791410-7AB4-4BEC-8D5B-70A771285E58} - \Soft installer -> No File <==== ATTENTION Task: {7454DC0D-1001-4E12-80EB-28FC084D0BBD} - \Video Total -> No File <==== ATTENTION Task: {950ECD94-EF66-4CC4-90B6-E08686BEF055} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION Task: {DC65137E-E267-4F4E-8CE1-3197A98342D5} - \BarCode Scanner -> No File <==== ATTENTION- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Выполнил.
С расшифровкой не поможем.
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Это прискорбно. Будем восстанавливать информацию вручную. Но все равно спасибо.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\users\user\appdata\local\eption\hmtsaxdr.dll - Trojan.Win32.Agent.neuqjy
- c:\users\user\appdata\local\eption\vwqvumkf.dll - Trojan.Win32.Agent.neuqug
- c:\users\user\appdata\local\ipsoft\rnnciztk.dll - HEUR:Trojan.Win32.Generic
- c:\users\user\appdata\local\ipsoft\vgmmevbz.dll - HEUR:Trojan.Win32.Generic
- c:\users\user\appdata\local\ipsoft\5f36b08d.exe - Trojan.Win32.Boaxxe.xx
Уважаемый(ая) glprog, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.