Закрыто Внимание! Ваши файлы зашифрованы. Обязательно отправьте на e-mail yaga.babushka@yahoo.com

Тема в разделе "Лечение компьютерных вирусов", создана пользователем consul03, 21 янв 2016.

Статус темы:
Закрыта.
  1. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    На почту пришло письмо!
    После проверки приложения все файлы word были переименованы, на компе появились фалы read me!
    Посоветуйте что делать!
     
  2. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    Обязательно отправьте на e-mail yaga.babushka@yahoo.com один из файлов для получения инструкций. Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче. ОБЯЗАТЕЛЬНО укажите ваш ID - 18201617uuj1
    --- Объединённое сообщение, 21 янв 2016 ---
    Зашел в свойства файла, имя файла пишет BlOCK
     

    Вложения:

    • ВИРУС.JPG
      ВИРУС.JPG
      Размер файла:
      64,2 КБ
      Просмотров:
      11
  3. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
  4. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    По данному вопросу создал новую тему в разделе "расшифровка файлов"!
     
    Последнее редактирование модератором: 23 янв 2016
  5. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    В общем расшифровать файлы не получится видимо. Мошенники просят 5000 руб. за дешифратор, у меня таких денег нет. Придется попрощаться с файлами. Помогите комп привести в рабочее состояние пож-ста. Вот логи.
     

    Вложения:

  6. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Ocfcfq.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\ScreenSaverPro.scr','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\ScreenSaverPro.scr','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Screen Saver Pro 3.1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Ocfcfq');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Ocfcfq.exe','32');
     DeleteFile('C:\PROGRA~1\SearchProtect\SearchProtect\bin\VC32Loader.dll','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip с помощью этой формы.

    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    1. Распакуйте архив с утилитой в отдельную папку.
    2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

    [​IMG]

    3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    4. Прикрепите этот отчет к своему следующему сообщению.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
     
  7. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    Все выполнил по инструкции.
     

    Вложения:

  8. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
  9. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    Сделал
     

    Вложения:

    • Malware.txt
      Размер файла:
      62,3 КБ
      Просмотров:
      1
  10. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Удалите в МВАМ все, кроме
    Код (Text):
    PUP.Optional.IntroKeygen, C:\Documents and Settings\Admin\Рабочий стол\Transcend\Я - Corel-X4-SP2-ENG-RUS\CORE\CORE10k.EXE, , [11fd5be2bcdd3ef8b1095e3fed17ee12],
    Trojan.Agent.Drop, C:\WINDOWS\system32\hidcon.exe, , [8589b08dd2c72d09f184380dc83a9967],
     
  11. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    выполнил!
     
  12. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
    [​IMG]
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
     
  13. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    Выполнил.
    --- Объединённое сообщение, 23 янв 2016 ---
    Вот только опять что-то словил вроде, когда в браузере нажимаю ссылку он открывает левую страничку сначала (((
    --- Объединённое сообщение, 23 янв 2016 ---
    А еще в правом нижнем углу реклама выскакивает о знакомстве
    --- Объединённое сообщение, 23 янв 2016 ---
    Кажется с новой проблемой разобрался при помощи МВАМ
    --- Объединённое сообщение, 23 янв 2016 ---
    хотя реклама также выскакивает (((
     

    Вложения:

  14. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    CHR NewTab: Default -> "chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html",
                    "chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
               
    CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
    CHR Plugin: (Native Client) - C:\PROGRA~1\google\chrome\APPLIC~1\47.0.2526.111\ppGoogleNaClPluginChrome.dll => No File
    CHR Plugin: (Chrome PDF Viewer) - C:\PROGRA~1\google\chrome\APPLIC~1\47.0.2526.111\pdf.dll => No File
    CHR Plugin: (Shockwave Flash) - C:\PROGRA~1\google\chrome\APPLIC~1\47.0.2526.111\gcswf32.dll => No File
    CHR Plugin: (Java Deployment Toolkit 6.0.300.12) - C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File
    CHR Plugin: (Java(TM) Platform SE 6 U30) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File
    CHR Extension: (Купоны на все!) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lamnalpbepohkoppclbgfcagnlbcoofj [2016-01-23]
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
     
  15. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    выполнил
     
  16. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Не увидел, что Вы прикрепили лог, который получился после работы скрипта.

    Вложение из письма от бабушки Яги сохранилось?
     
  17. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    Точно, не прикрепил, извиняюсь!
    К сожалению удалил, со страху!
    --- Объединённое сообщение, 25 янв 2016 ---
    Хотя есть на почте, в корзине. Только боюсь скачивать. Могу переслать, напишите ящик.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,2 КБ
      Просмотров:
      0
  18. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.477
    Симпатии:
    3.100
    Простое скачивание не приведет к шифрованию. Скачайте, заархивируйте с паролем virus, выложите на Яндекс диск и ссылку мне в личные сообщения
     
    Последнее редактирование: 25 янв 2016
  19. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    thyrex, выполнил, как вы сказали! проверьте сообщения!
    прошу прощения, вместо пароля, указал имя - VIRUS
    Ну да, потому что он изначально заархивирован, я не умею пароль ставить на архив
     
    Последнее редактирование: 25 янв 2016
  20. consul03
    Оффлайн

    consul03 Новый пользователь

    Сообщения:
    46
    Симпатии:
    2
    Вот только опять что-то словил вроде, когда в браузере нажимаю ссылку он открывает левую страничку сначала (((
    А еще в правом нижнем углу реклама выскакивает о знакомстве.
    ПРОБЛЕМА ОСТАЛАСЬ. ХЭЛП МИ !!!
     
Статус темы:
Закрыта.

Поделиться этой страницей