Закрыто email-cryptolocker@mail.aol

Тема в разделе "Лечение компьютерных вирусов", создана пользователем Евжений, 11 июл 2016.

Статус темы:
Закрыта.
  1. Евжений
    Оффлайн

    Евжений Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    День добрый. Пришло "письмо счастья" типа от суда, что мы должны то-то погасить, был прикреплен файл с названием doc.com. хозяйка компа, не подумав, открыла. Спустя несколько минут, система выдала что какие-то обновления были загружены и установлены. В результате, все файлы расширений doc, docx, excel итд сменили расширение на cbf, а обои рабочего стола сменились на просьбу прислать зашифрованный файл на почту "вредителя" cryptolocker@aol.com, с угрозой что если этого не сделаем, расшифровать данные будет невозможно.
     

    Вложения:

  2. Евжений
    Оффлайн

    Евжений Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Кроме прочего, перестали открываться архивы rar. Пишет что изменен формат или архив поврежден. Очень прошу помочь разобраться с проблемой. Поражен компьютер директора, то есть, все важные документы не доступны.
     
    Последнее редактирование: 11 июл 2016
  3. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
     ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
      ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
       QuarantineFile('C:\Program Files (x86)\service.exe', '');
       QuarantineFile('C:\Program Files (x86)\Bingos Soft\Bingos Chat\BingosChat.exe', '');
       DeleteFile('C:\Program Files (x86)\service.exe', '32');
      RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pr');
      CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
     BC_Activate;
    RebootWindows(true);
    end.
     
    Компьютер перезагрузится.

    Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



    Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".


    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочкой также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
  4. Евжений
    Оффлайн

    Евжений Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    При выполнении скрипта возникают ошибки прямого чтения. Пробовал несколько раз загружать скрипт, включая функцию "автокопирование в карантин" AVZ

    ошибка карантина.png
    --- Объединённое сообщение, 12 июл 2016 ---
    Получилось, отправил на почту.
     

    Вложения:

  5. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Расширение Neiron Search Tools ваше?

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    HKU\S-1-5-21-654217779-3630060259-1778125853-500\Control Panel\Desktop\\Wallpaper -> C:\Program Files (x86)\desk.bmp
    Reg: reg delete "HKU\S-1-5-21-654217779-3630060259-1778125853-500\Control Panel\Desktop\\Wallpaper"
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
    CHR HKU\S-1-5-21-654217779-3630060259-1778125853-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [boabkkhbickbpleplbghkjpcoebckgai] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
    OPR Extension: (Everysale.Net) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\mafpbclkdiejmpjnmioihcafdnlbmkco [2015-12-21]
    OPR Extension: (PhoenixGuard v2.0 - бесплатный антивирус) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-12-21]
    2016-07-12 08:07 - 2016-07-12 08:07 - 00927422 _____ C:\Program Files (x86)\desk.bmp
    2016-07-11 09:17 - 2016-07-11 09:35 - 00000000 ____D C:\Users\Администратор\AppData\Local\{698D0BA5-6E4B-44BD-9F9A-AA32F2E98D9A}
    File: C:\Program Files (x86)\GOFAYIXMYS.UDT
    File: C:\Program Files (x86)\MPQNCSCBYN.RVP
    2016-07-11 08:20 - 2016-07-11 08:41 - 00000094 _____ C:\Program Files (x86)\GOFAYIXMYS.UDT
    2016-07-11 08:19 - 2016-07-11 08:41 - 00000094 _____ C:\Program Files (x86)\MPQNCSCBYN.RVP
    2016-07-12 08:07 - 2016-07-12 08:07 - 0927422 _____ () C:\Program Files (x86)\desk.bmp
    2016-07-12 08:07 - 2016-07-12 08:07 - 0153239 _____ () C:\Program Files (x86)\desk.jpg
    2016-07-11 08:20 - 2016-07-11 08:41 - 0000094 _____ () C:\Program Files (x86)\GOFAYIXMYS.UDT
    2016-07-11 08:19 - 2016-07-11 08:41 - 0000094 _____ () C:\Program Files (x86)\MPQNCSCBYN.RVP
    2015-12-21 09:05 - 2015-05-29 10:00 - 0000000 ____H () C:\Users\Администратор\AppData\Local\BIT5939.tmp
    2015-12-21 09:05 - 2015-12-15 08:19 - 0000000 ____H () C:\Users\Администратор\AppData\Local\BITBDA0.tmp
    2015-12-21 09:05 - 2015-12-14 08:08 - 0000000 ____H () C:\Users\Администратор\AppData\Local\BITF703.tmp
    2015-12-21 09:05 - 2015-05-29 10:00 - 0000000 _____ () C:\Users\Администратор\AppData\Local\{3A5E8669-A53B-45D3-83E1-108ECF3346FE}
    2015-12-21 09:05 - 2015-06-09 08:40 - 0000000 _____ () C:\Users\Администратор\AppData\Local\{670EC5F9-B2F7-4C81-960D-51E35D25FDFD}
    2015-12-21 09:05 - 2015-12-15 08:18 - 0000000 _____ () C:\Users\Администратор\AppData\Local\{B50DA286-E6E6-4EED-A1BE-7AE1783970EC}
    2015-12-21 09:05 - 2015-12-14 08:08 - 0000000 _____ () C:\Users\Администратор\AppData\Local\{EA522202-7689-4E9B-A857-7BB39F99E34F}
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
  6. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
  7. Евжений
    Оффлайн

    Евжений Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Расширение Neiron Search Tools не моё, когда установился шифратор, скачалось расширение для браузера.
     

    Вложения:

  8. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Удалите значение параметра реестра вручную
    Код (Microsoft Registry):
    HKU\S-1-5-21-654217779-3630060259-1778125853-500\Control Panel\Desktop\\Wallpaper
    Расширение Neiron Search Tools тоже.

    • Запустите adwcleaner.exe
    • Нажмите Uninstall (Деинсталлировать).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    Давайте потом еще контрольный лог FRST и Check Browsers LNK
     
  9. Евжений
    Оффлайн

    Евжений Новый пользователь

    Сообщения:
    5
    Симпатии:
    0
    Сделал
     

    Вложения:

    • FRST.txt
      Размер файла:
      43,5 КБ
      Просмотров:
      2
    • Check_Browsers_LNK.log
      Размер файла:
      13,9 КБ
      Просмотров:
      1
  10. Kиpилл
    Онлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.208
    Симпатии:
    4.977
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код (Text):
    start
    CreateRestorePoint:
    OPR Extension: (Neiron Search Tools) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\neclhebkjhajagboegcjjhfmkmpgonmf [2015-12-21]
    2016-07-18 10:20 - 2016-07-18 10:20 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\gnupg
    2016-07-20 08:23 - 2009-07-14 07:45 - 00021280 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
    2016-07-20 08:23 - 2009-07-14 07:45 - 00021280 ____H C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    2016-07-18 10:57 - 2015-12-21 09:06 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
    EmptyTemp:
    Reboot:
    end
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.


    Вы файл Addition.txt забыли прикрепить.

    Файл
    C:\Users\Администратор\AppData\Roaming\Microsoft\Word\3.1-7-16305319852938856861\3.1-7-16.docx.lnk
    Упакуйте в архив и вышлите на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Еще раз сделайте лог Check Browsers LNK.

    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
Статус темы:
Закрыта.

Поделиться этой страницей