Решена Вирус-шифровальщик с раширением .breaking_bad

Тема в разделе "Лечение компьютерных вирусов", создана пользователем andrey63.79, 16 авг 2016.

Статус темы:
Закрыта.
  1. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Здравствуйте. Тема такая: Мне на e-mail пришло письмо 18 января 2016 года с вирусом. 19 января, я его открыл и он зашифровал больше половины всей инфо. на компе. Прошу помощи.
    Систему не переустанавливал.
    Высылаю вам и само письмо с вирусом. Пароль на архив: virus
     

    Вложения:

    Последнее редактирование модератором: 16 авг 2016
  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.219
    Симпатии:
    4.978
  3. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Здравствуйте. Тема такая: Мне на e-mail пришло письмо 18 января 2016 года с вирусом. 19 января, я его открыл и он зашифровал больше половины всей инфо. на компе. Прошу помощи.
    Систему не переустанавливал.
    Высылаю вам и само письмо с вирусом. Пароль на архив: virus
     

    Вложения:

    Последнее редактирование модератором: 16 авг 2016
  4. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    теперь надеюсь правильно сделал?
     
  5. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    удалите через Установку программ

    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\1088285630.exe','');
     QuarantineFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\1088285630_monster.exe','');
     DeleteFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe','32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\1088285630_monster.exe','32');
     DeleteFile('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\1088285630.exe','32');
     DeleteFile('C:\windows\system32\Tasks\SystemMonitor2016','64');
     DeleteFile('C:\windows\system32\Tasks\Soft installer','64');
     DeleteFile('C:\Users\Дмитрий\appdata\roaming\aspackage\uninstall.exe','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    ExecuteREpair(9);
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

    Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
     
  6. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Опишите поподробнее, как выполнить скрипт
     
  7. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
  8. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Отослал. Я про это не пойму: Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи, что нужно сделать
     
  9. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Написано ведь - опять выполнить правила, прислать новый архив после работы Autologger
     
  10. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    Новые логи
     

    Вложения:

  11. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Обязательно для новых логов было новую тему создавать?

    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
    [​IMG]
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
     
  12. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0

    Вложения:

    • FRST.rar
      Размер файла:
      36,1 КБ
      Просмотров:
      2
  13. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    FF Extension: No Name - C:\Program Files (x86)\IObit Apps Toolbar\FF [not found]
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [chfdnecihphmhljaaejmgoiahnihplgn] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
    2016-07-29 09:21 - 2016-04-23 07:27 - 00000000 ____D C:\Users\Дмитрий\AppData\Roaming\Torrentex
    Task: {76581337-E6B5-4336-8F5A-63A0369ADC3E} - \SystemMonitor2016 -> No File <==== ATTENTION
    Task: {A76C01E9-A29A-4F32-9476-E1933DB6B801} - \Soft installer -> No File <==== ATTENTION
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.
     
  14. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    логи
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      6,2 КБ
      Просмотров:
      1
  15. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
     
  16. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    у меня windows 8. Что мне делать в этой ситуации?
     
  17. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
    Тоже по правой кнопке мыши
     
  18. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    логи
     

    Вложения:

  19. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.472
    Симпатии:
    3.098
  20. andrey63.79
    Оффлайн

    andrey63.79 Новый пользователь

    Сообщения:
    15
    Симпатии:
    0
    логи
     

    Вложения:

Статус темы:
Закрыта.

Поделиться этой страницей