Решена Вирус-шифровальщик с раширением .breaking_bad

Статус
В этой теме нельзя размещать новые ответы.

andrey63.79

Новый пользователь
Сообщения
14
Реакции
0
Здравствуйте. Тема такая: Мне на e-mail пришло письмо 18 января 2016 года с вирусом. 19 января, я его открыл и он зашифровал больше половины всей инфо. на компе. Прошу помощи.
Систему не переустанавливал.
Высылаю вам и само письмо с вирусом. Пароль на архив: virus
 

Вложения

  • Addition.txt
    53.6 KB · Просмотры: 1
  • FRST.txt
    83.1 KB · Просмотры: 2
  • Shortcut.txt
    177.9 KB · Просмотры: 0
  • Зашифрованные файлы.rar
    3.7 MB · Просмотры: 1
Последнее редактирование модератором:

andrey63.79

Новый пользователь
Сообщения
14
Реакции
0
Здравствуйте. Тема такая: Мне на e-mail пришло письмо 18 января 2016 года с вирусом. 19 января, я его открыл и он зашифровал больше половины всей инфо. на компе. Прошу помощи.
Систему не переустанавливал.
Высылаю вам и само письмо с вирусом. Пароль на архив: virus
 

Вложения

  • Зашифрованные файлы.rar
    3.7 MB · Просмотры: 2
  • CollectionLog-2016.08.16-20.14.zip
    112.4 KB · Просмотры: 4
Последнее редактирование модератором:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,939
Реакции
2,611
AVG Web TuneUp
MediaGet
TuneUp Utilities 2013 13.0.3020.19 Final
Обнови софт
Служба автоматического обновления программ
Тут недорого version 2.8
удалите через Установку программ

Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\1088285630.exe','');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\1088285630_monster.exe','');
 DeleteFile('C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe','32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Hostinstaller\1088285630_monster.exe','32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\SystemMonitor2016\1088285630.exe','32');
 DeleteFile('C:\windows\system32\Tasks\SystemMonitor2016','64');
 DeleteFile('C:\windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Дмитрий\appdata\roaming\aspackage\uninstall.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Обнови Софт');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
 

andrey63.79

Новый пользователь
Сообщения
14
Реакции
0
Опишите поподробнее, как выполнить скрипт
 

andrey63.79

Новый пользователь
Сообщения
14
Реакции
0
Отослал. Я про это не пойму: Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи, что нужно сделать
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,939
Реакции
2,611
Написано ведь - опять выполнить правила, прислать новый архив после работы Autologger
 

andrey63.79

Новый пользователь
Сообщения
14
Реакции
0
Новые логи
 

Вложения

  • CollectionLog-2016.08.17-20.46.zip
    107.7 KB · Просмотры: 2

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,939
Реакции
2,611
Обязательно для новых логов было новую тему создавать?

Скачайте Farbar Recovery Scan Tool
NAAC5Ba.png
и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,939
Реакции
2,611
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код:
CreateRestorePoint:
Toolbar: HKLM-x32 - No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: No Name - C:\Program Files (x86)\IObit Apps Toolbar\FF [not found]
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [chfdnecihphmhljaaejmgoiahnihplgn] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fbkdlibjhnblcbjjecnlpkldhbkedfhj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3333847349-855440895-2659428109-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ahkmpjnmnhjkpkacdhkliipnncobgkhk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
2016-07-29 09:21 - 2016-04-23 07:27 - 00000000 ____D C:\Users\Дмитрий\AppData\Roaming\Torrentex
Task: {76581337-E6B5-4336-8F5A-63A0369ADC3E} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {A76C01E9-A29A-4F32-9476-E1933DB6B801} - \Soft installer -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,939
Реакции
2,611
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
 

andrey63.79

Новый пользователь
Сообщения
14
Реакции
0
у меня windows 8. Что мне делать в этой ситуации?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,939
Реакции
2,611
Тоже по правой кнопке мыши
 

andrey63.79

Новый пользователь
Сообщения
14
Реакции
0
логи
 

Вложения

  • SecurityCheck.txt
    17.3 KB · Просмотры: 2

andrey63.79

Новый пользователь
Сообщения
14
Реакции
0
логи
 

Вложения

  • AdwCleaner[S1].txt
    13.3 KB · Просмотры: 2
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу