Решена Вирус-шифровальщик с раширением .breaking_bad

Статус
В этой теме нельзя размещать новые ответы.

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Здравствуйте. Тема такая: Мне на e-mail пришло письмо 18 января 2016 года с вирусом. 19 января, я его открыл и он зашифровал больше половины всей инфо. на компе. Прошу помощи.
Систему не переустанавливал.
Высылаю вам и само письмо с вирусом. Пароль на архив: virus
 

Вложения

  • Addition.txt
    53.6 KB · Просмотры: 1
  • FRST.txt
    83.1 KB · Просмотры: 2
  • Shortcut.txt
    177.9 KB · Просмотры: 0
  • Зашифрованные файлы.rar
    3.7 MB · Просмотры: 1
Последнее редактирование модератором:

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Здравствуйте. Тема такая: Мне на e-mail пришло письмо 18 января 2016 года с вирусом. 19 января, я его открыл и он зашифровал больше половины всей инфо. на компе. Прошу помощи.
Систему не переустанавливал.
Высылаю вам и само письмо с вирусом. Пароль на архив: virus
 

Вложения

  • Зашифрованные файлы.rar
    3.7 MB · Просмотры: 2
  • CollectionLog-2016.08.16-20.14.zip
    112.4 KB · Просмотры: 4
Последнее редактирование модератором:

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
теперь надеюсь правильно сделал?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
AVG Web TuneUp
MediaGet
TuneUp Utilities 2013 13.0.3020.19 Final
Обнови софт
Служба автоматического обновления программ
Тут недорого version 2.8
удалите через Установку программ

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\1088285630.exe','');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\1088285630_monster.exe','');
 DeleteFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe','32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\1088285630_monster.exe','32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\1088285630.exe','32');
 DeleteFile('C:\windows\system32\Tasks\SystemMonitor2016','64');
 DeleteFile('C:\windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Дмитрий\appdata\roaming\aspackage\uninstall.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Опишите поподробнее, как выполнить скрипт
 

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Отослал. Я про это не пойму: Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи, что нужно сделать
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Написано ведь - опять выполнить правила, прислать новый архив после работы Autologger
 

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
Новые логи
 

Вложения

  • CollectionLog-2016.08.17-20.46.zip
    107.7 KB · Просмотры: 2

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Обязательно для новых логов было новую тему создавать?

Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: No Name - C:\Program Files (x86)\IObit Apps Toolbar\FF [not found]
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [chfdnecihphmhljaaejmgoiahnihplgn] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2016-07-29 09:21 - 2016-04-23 07:27 - 00000000 ____D C:\Users\Дмитрий\AppData\Roaming\Torrentex
Task: {76581337-E6B5-4336-8F5A-63A0369ADC3E} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {A76C01E9-A29A-4F32-9476-E1933DB6B801} - \Soft installer -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
логи
 

Вложения

  • Fixlog.txt
    6.2 KB · Просмотры: 1

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
 

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
у меня windows 8. Что мне делать в этой ситуации?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,886
Реакции
2,588
Баллы
683
Тоже по правой кнопке мыши
 

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
логи
 

Вложения

  • SecurityCheck.txt
    17.3 KB · Просмотры: 2

andrey63.79

Активный пользователь
Сообщения
14
Реакции
0
Баллы
81
логи
 

Вложения

  • AdwCleaner[S1].txt
    13.3 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу