1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Закрыто Внимание! Ваши файлы зашифрованы. Обязательно отправьте на e-mail yaga.babushka@yahoo.com

Тема в разделе "Удаление компьютерных вирусов", создана пользователем consul03, 21 янв 2016.

Статус темы:
Закрыта.
  1. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    На почту пришло письмо!
    После проверки приложения все файлы word были переименованы, на компе появились фалы read me!
    Посоветуйте что делать!
     
  2. Добро пожаловать!

    Вы обратились в раздел лечения форума Safezone.cc!

    Если Вы этого еще не сделали, выполните пожалуйста правила оформления запроса и прикрепите полученные логи к своему следующему сообщению.

    Ожидайте ответа консультанта.

    Помните, что помощь оказывается бесплатно в свободное от других занятий время.

    Благодарим за ожидание.

     
  3. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    Обязательно отправьте на e-mail yaga.babushka@yahoo.com один из файлов для получения инструкций. Попытки самостоятельно расшифровать файлы приведут к их безвозвратной порче. ОБЯЗАТЕЛЬНО укажите ваш ID - 18201617uuj1
    --- Объединённое сообщение, 21 янв 2016 ---
    Зашел в свойства файла, имя файла пишет BlOCK
     

    Вложения:

    • ВИРУС.JPG
      ВИРУС.JPG
      Размер файла:
      64,2 КБ
      Просмотров:
      11
  4. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
  5. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    По данному вопросу создал новую тему в разделе "расшифровка файлов"!
     
    Последнее редактирование модератором: 23 янв 2016
  6. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    В общем расшифровать файлы не получится видимо. Мошенники просят 5000 руб. за дешифратор, у меня таких денег нет. Придется попрощаться с файлами. Помогите комп привести в рабочее состояние пож-ста. Вот логи.
     

    Вложения:

  7. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Выполните скрипт в AVZ
    Код (Text):
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Ocfcfq.exe','');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\ScreenSaverPro.scr','');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\ScreenSaverPro.scr','32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Screen Saver Pro 3.1');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','Ocfcfq');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\Ocfcfq.exe','32');
     DeleteFile('C:\PROGRA~1\SearchProtect\SearchProtect\bin\VC32Loader.dll','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.emorhc.bat','32');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Browsers\exe.erolpxei.bat','32');
     BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код (Text):
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    Отправьте c:\quarantine.zip с помощью этой формы.

    Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
    1. Распакуйте архив с утилитой в отдельную папку.
    2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

    [​IMG]

    3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
    4. Прикрепите этот отчет к своему следующему сообщению.

    Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
     
  8. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    Все выполнил по инструкции.
     

    Вложения:

  9. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
  10. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    Сделал
     

    Вложения:

    • Malware.txt
      Размер файла:
      62,3 КБ
      Просмотров:
      1
  11. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Удалите в МВАМ все, кроме
    Код (Text):
    PUP.Optional.IntroKeygen, C:\Documents and Settings\Admin\Рабочий стол\Transcend\Я - Corel-X4-SP2-ENG-RUS\CORE\CORE10k.EXE, , [11fd5be2bcdd3ef8b1095e3fed17ee12],
    Trojan.Agent.Drop, C:\WINDOWS\system32\hidcon.exe, , [8589b08dd2c72d09f184380dc83a9967],
     
  12. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    выполнил!
     
  13. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Скачайте Farbar Recovery Scan Tool [​IMG] и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
    [​IMG]
    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.
     
  14. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    Выполнил.
    --- Объединённое сообщение, 23 янв 2016 ---
    Вот только опять что-то словил вроде, когда в браузере нажимаю ссылку он открывает левую страничку сначала (((
    --- Объединённое сообщение, 23 янв 2016 ---
    А еще в правом нижнем углу реклама выскакивает о знакомстве
    --- Объединённое сообщение, 23 янв 2016 ---
    Кажется с новой проблемой разобрался при помощи МВАМ
    --- Объединённое сообщение, 23 янв 2016 ---
    хотя реклама также выскакивает (((
     

    Вложения:

  15. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код (Text):

    CreateRestorePoint:
    CHR NewTab: Default -> "chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html",
                    "chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
               
    CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
    CHR Plugin: (Native Client) - C:\PROGRA~1\google\chrome\APPLIC~1\47.0.2526.111\ppGoogleNaClPluginChrome.dll => No File
    CHR Plugin: (Chrome PDF Viewer) - C:\PROGRA~1\google\chrome\APPLIC~1\47.0.2526.111\pdf.dll => No File
    CHR Plugin: (Shockwave Flash) - C:\PROGRA~1\google\chrome\APPLIC~1\47.0.2526.111\gcswf32.dll => No File
    CHR Plugin: (Java Deployment Toolkit 6.0.300.12) - C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File
    CHR Plugin: (Java(TM) Platform SE 6 U30) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File
    CHR Extension: (Купоны на все!) - C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lamnalpbepohkoppclbgfcagnlbcoofj [2016-01-23]
    Reboot:
     
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
     
  16. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    выполнил
     
  17. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Не увидел, что Вы прикрепили лог, который получился после работы скрипта.

    Вложение из письма от бабушки Яги сохранилось?
     
  18. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    Точно, не прикрепил, извиняюсь!
    К сожалению удалил, со страху!
    --- Объединённое сообщение, 25 янв 2016 ---
    Хотя есть на почте, в корзине. Только боюсь скачивать. Могу переслать, напишите ящик.
     

    Вложения:

    • Fixlog.txt
      Размер файла:
      2,2 КБ
      Просмотров:
      0
  19. thyrex

    thyrex Ассоциация VN/VIP VIP

    Сообщения:
    2.599
    Симпатии:
    3.140
    Простое скачивание не приведет к шифрованию. Скачайте, заархивируйте с паролем virus, выложите на Яндекс диск и ссылку мне в личные сообщения
     
    Последнее редактирование: 25 янв 2016
  20. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    thyrex, выполнил, как вы сказали! проверьте сообщения!
    прошу прощения, вместо пароля, указал имя - VIRUS
    Ну да, потому что он изначально заархивирован, я не умею пароль ставить на архив
     
    Последнее редактирование: 25 янв 2016
  21. consul03

    consul03 Пользователь

    Сообщения:
    46
    Симпатии:
    2
    Вот только опять что-то словил вроде, когда в браузере нажимаю ссылку он открывает левую страничку сначала (((
    А еще в правом нижнем углу реклама выскакивает о знакомстве.
    ПРОБЛЕМА ОСТАЛАСЬ. ХЭЛП МИ !!!
     
Загрузка...
Похожие темы - Внимание Ваши файлы
  1. 777KPL
    Ответов:
    17
    Просмотров:
    163
  2. texno5
    Ответов:
    1
    Просмотров:
    173
  3. leso
    Ответов:
    13
    Просмотров:
    298
  4. OrdOrd
    Ответов:
    1
    Просмотров:
    263
  5. johnsmith
    Ответов:
    10
    Просмотров:
    1.398
  6. talkosa
    Ответов:
    1
    Просмотров:
    972
Статус темы:
Закрыта.

Поделиться этой страницей