Закрыто blockchain@iname.com c шифрованием основных расширений файлов системы

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Res, 12 сен 2015.

Статус темы:
Закрыта.
  1. Res
    Оффлайн

    Res Новый пользователь

    Сообщения:
    1
    Симпатии:
    0
    Здравствуйте.
    Недавно после загрузки ОС на рабочем столе оказалась картинка (Обои) с сообщением типа "Ваш компьютер заражен, свяжитесь с id-0854498732_blockchain@iname.com". Файлы с расширениями txt, jpg, doc, и тд стали зашифрованы "id-0854498732_blockchain@iname.com" после основного расширения файла, прошу помочь в расшифровке файлов.
    Заранее спасибо.
     

    Вложения:

  2. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     TerminateProcessByName('C:\Windows\Sys\svchost.exe');
    QuarantineFile('C:\Users\Res\AppData\Local\Temp\svchost.exe','');
     QuarantineFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','');
     QuarantineFile('C:\Users\Res\AppData\Roaming\Steam\Reversed\steam.exe','');
     QuarantineFile('C:\Users\Res\AppData\Local\Microsoft\Extensions\extsetup.exe','');
     QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
     QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
     QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-5.exe','');
     QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-4.exe','');
     QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-11.exe','');
     QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-10.exe','');
     QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-7.exe','');
     QuarantineFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6.exe','');
     QuarantineFile('C:\Users\Res\AppData\Roaming\1WVjYy0tqSez.exe','');
     QuarantineFile('C:\Users\Res\AppData\Roaming\Browsers\exe.erolpxei.bat','');
     QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
     QuarantineFile('C:\Users\Res\AppData\Local\Kometa\kometaup.exe','');
     QuarantineFile('C:\Users\Res\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
     QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
     QuarantineFile('C:\Program Files (x86)\gmsd_ru_025010069\gmsd_ru_025010069.exe','');
     QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','');
     QuarantineFile('C:\Windows\Sys\svchost.exe','');
     DeleteFile('C:\Windows\Sys\svchost.exe','32');
     DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_025010069\gmsd_ru_025010069.exe','32');
     DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
     DeleteFile('C:\Users\Res\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
     DeleteFile('C:\Users\Res\AppData\Local\Kometa\kometaup.exe','32');
     DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
     DeleteFile('C:\Users\Res\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
     DeleteFile('C:\Users\Res\AppData\Roaming\1WVjYy0tqSez.exe','32');
     DeleteFile('C:\Windows\Tasks\1WVjYy0tqSez.job','32');
     DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6.exe','32');
     DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6.job','32');
     DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-7.exe','32');
     DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-7.job','32');
     DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-10.exe','32');
     DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-10_user.job','32');
     DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-11.exe','32');
     DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-11.job','32');
     DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-4.exe','32');
     DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-4.job','32');
     DeleteFile('C:\Program Files (x86)\CiPlus-4.5vV24.08\dffdb9df-27f4-44d4-a069-a27e28f99c3d-5.exe','32');
     DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-5.job','32');
     DeleteFile('C:\Windows\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-5_user.job','32');
     DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
     DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
     DeleteFile('C:\Windows\system32\Tasks\1WVjYy0tqSez','64');
     DeleteFile('C:\Windows\system32\Tasks\37f4a2f7-2adf-40aa-98e8-2f58ac491b6d-10_user','64');
     DeleteFile('C:\Windows\system32\Tasks\37f4a2f7-2adf-40aa-98e8-2f58ac491b6d-11','64');
     DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64');
     DeleteFile('C:\Windows\system32\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-6','64');
     DeleteFile('C:\Windows\system32\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-1-7','64');
     DeleteFile('C:\Windows\system32\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-10_user','64');
     DeleteFile('C:\Windows\system32\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-11','64');
     DeleteFile('C:\Windows\system32\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-4','64');
     DeleteFile('C:\Windows\system32\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-5','64');
     DeleteFile('C:\Windows\system32\Tasks\dffdb9df-27f4-44d4-a069-a27e28f99c3d-5_user','64');
     DeleteFile('C:\Users\Res\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
     DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
     DeleteFile('C:\Windows\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
     DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
     DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
     DeleteFile('C:\Windows\system32\Tasks\SafeBrowser','64');
     DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
     DeleteFile('C:\Users\Res\AppData\Roaming\Steam\Reversed\steam.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
     DeleteFile('C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core','64');
     DeleteFile('C:\Windows\system32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update','64');
     DeleteFile('C:\Users\Res\AppData\Local\Temp\svchost.exe','32');
    DeleteService('Windows');
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip с помощью этой формы.



    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    • Распакуйте архив с утилитой в отдельную папку.
    • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

      [​IMG]
    • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    • Прикрепите этот отчет к своему следующему сообщению.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
     
    Kиpилл нравится это.
Статус темы:
Закрыта.

Поделиться этой страницей