• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Вирус-шифровальщик с раширением .breaking_bad

Статус
В этой теме нельзя размещать новые ответы.

andrey63.79

Новый пользователь
Сообщения
14
Симпатии
0
#1
Здравствуйте. Тема такая: Мне на e-mail пришло письмо 18 января 2016 года с вирусом. 19 января, я его открыл и он зашифровал больше половины всей инфо. на компе. Прошу помощи.
Систему не переустанавливал.
Высылаю вам и само письмо с вирусом. Пароль на архив: virus
 

Вложения

Последнее редактирование модератором:

andrey63.79

Новый пользователь
Сообщения
14
Симпатии
0
#3
Здравствуйте. Тема такая: Мне на e-mail пришло письмо 18 января 2016 года с вирусом. 19 января, я его открыл и он зашифровал больше половины всей инфо. на компе. Прошу помощи.
Систему не переустанавливал.
Высылаю вам и само письмо с вирусом. Пароль на архив: virus
 

Вложения

Последнее редактирование модератором:

andrey63.79

Новый пользователь
Сообщения
14
Симпатии
0
#4
теперь надеюсь правильно сделал?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#5
AVG Web TuneUp
MediaGet
TuneUp Utilities 2013 13.0.3020.19 Final
Обнови софт
Служба автоматического обновления программ
Тут недорого version 2.8
удалите через Установку программ

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\1088285630.exe','');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\1088285630_monster.exe','');
 DeleteFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe','32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\1088285630_monster.exe','32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\1088285630.exe','32');
 DeleteFile('C:\windows\system32\Tasks\SystemMonitor2016','64');
 DeleteFile('C:\windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Дмитрий\appdata\roaming\aspackage\uninstall.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

andrey63.79

Новый пользователь
Сообщения
14
Симпатии
0
#6
Опишите поподробнее, как выполнить скрипт
 

andrey63.79

Новый пользователь
Сообщения
14
Симпатии
0
#8
Отослал. Я про это не пойму: Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи, что нужно сделать
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#9
Написано ведь - опять выполнить правила, прислать новый архив после работы Autologger
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#11
Обязательно для новых логов было новую тему создавать?

Скачайте Farbar Recovery Scan Tool
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#13
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: No Name - C:\Program Files (x86)\IObit Apps Toolbar\FF [not found]
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [chfdnecihphmhljaaejmgoiahnihplgn] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2016-07-29 09:21 - 2016-04-23 07:27 - 00000000 ____D C:\Users\Дмитрий\AppData\Roaming\Torrentex
Task: {76581337-E6B5-4336-8F5A-63A0369ADC3E} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {A76C01E9-A29A-4F32-9476-E1933DB6B801} - \Soft installer -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#15
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
 

andrey63.79

Новый пользователь
Сообщения
14
Симпатии
0
#16
у меня windows 8. Что мне делать в этой ситуации?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,362
Симпатии
2,435
#17
Тоже по правой кнопке мыши
 
Статус
В этой теме нельзя размещать новые ответы.