Решена Зашифрованы файлы jpg, doc
- Автор темы vmit
- Дата начала
- Статус
Ботан
Злостный спам-бот
- Сообщения
- 927
- Реакции
- 81
Приветствую vmit, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
- virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
__________________________________________________
С уважением, администрация SafeZone.
С уважением, администрация SafeZone.
- Сообщения
- 8,418
- Реакции
- 5,419
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Сделайте повторный набор логов AVZ и RSIT
По зашифрованным файлам ждите ответа
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\documents and settings\admin\application data\microsoft\taskhost.exe');
QuarantineFile('C:\WINDOWS.0\system32\mofbuwh.dll','');
QuarantineFile('c:\documents and settings\admin\application data\microsoft\taskhost.exe','');
QuarantineFile('C:\WINDOWS.0\system32\lqkztsj.dll','');
DeleteFile('C:\WINDOWS.0\system32\lqkztsj.dll');
DeleteFile('C:\WINDOWS.0\system32\mofbuwh.dll');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Сделайте повторный набор логов AVZ и RSIT
По зашифрованным файлам ждите ответа
- Сообщения
- 3,747
- Реакции
- 2,386
Как-то не похожи файлы с разными расширениями на одно и тоже
Последнее редактирование:
Почему с разными? у файлов одинковые расширения jpg. еще раз закачиваю основной файл:
- Сообщения
- 3,747
- Реакции
- 2,386
В первый раз была выложена картинка .png
Теперь все нормально
1. Скачайте http://support.kaspersky.ru/faq/?qid=208638517
2. Скопируйте зашифрованные файлы в отдельную папку
3. Запустите так из командной строки
Код:
RectorDecryptor.exe -hanarp "b9d4f42f637511dc33eeda45afeb51a27ec6e15aa02fc67564bc995e76eff7c4b9d4f42f637511dc33eeda45afeb51a27ec6"А путь не надо в командной строке прописывать, где будет лежать программа RectorDecryptor.exe?
- Сообщения
- 3,747
- Реакции
- 2,386
Конечно надо
- Сообщения
- 8,418
- Реакции
- 5,419
Spyware Doctor - не очень подходит для российских реалий - деинсталлируйте.
ESET NOD32 Antivirus - обновите, либо деинсталлируйте и поставьте любой другой антивирус, можно даже бесплатный
Malwarebytes Anti-Malware - обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\LogsПодробнее читайте в руководстве
_____________________________________________________
- Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
- Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
- Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
- Прикрепите файл к следующему сообщению.
- Сообщения
- 8,418
- Реакции
- 5,419
Обновите:
Java SE
Повторите сканирование в MBAM и удалите только следующее:
Сделайте новый лог MBAM
Java SE
Повторите сканирование в MBAM и удалите только следующее:
Код:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Taskhost (Trojan.MSIL) -> Параметры: C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe -> Действие не было предпринято.
C:\Documents and Settings\Admin\Application Data\Microsoft\taskhost.exe (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS.0\system32\drivers\etc\hоsts (Hijack.Trace) -> Действие не было предпринято.Сделайте новый лог MBAM
- Статус