alex.1206 0 Опубликовано 20 декабря, 2014 Share Опубликовано 20 декабря, 2014 Здравствуйте! Случилась беда, на ноутбуке все вордовские, экселевские документы,фотки, видео зашифровались с расширением .id-8789996206_marineelizz@inbox, на рабочем столе фотка бешенного тасманийского дьявола с предложением получить для него вакцину и 2 почтовых ящика для связи, marineelizz@inbox.ru и Dibloyad@mail.vu . Проверил антивирусом Kaspersky Internet Security нашлось больше десяти троянов, вылечил систему, но файлы остались закодированными. Пробовал расшифровать с помощью Kaspersky XoristDecryptor и Kaspersky RectorDecryptor не помогло. Прошу помощи CollectionLog-2014.12.20-22.49.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 096 Опубликовано 20 декабря, 2014 Share Опубликовано 20 декабря, 2014 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Деинсталлируйте: Mobogenie3-->C:\Program Files (x86)\Mobogenie3\Uninstall.exe Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogenieservice.exe'); TerminateProcessByName('c:\program files (x86)\mobogenie\mgassist.exe'); TerminateProcessByName('c:\program files (x86)\mobogenie\daemonprocess.exe'); SetServiceStart('MobogenieService', 4); SetServiceStart('MgAssistService', 4); StopService('MobogenieService'); StopService('MgAssistService'); QuarantineFile('c:\program files (x86)\mobogenie3\mobogenieservice.exe',''); QuarantineFile('c:\program files (x86)\mobogenie\mgassist.exe',''); QuarantineFile('c:\program files (x86)\mobogenie\daemonprocess.exe',''); DeleteFile('c:\program files (x86)\mobogenie\daemonprocess.exe','32'); DeleteFile('C:\Program Files (x86)\Mobogenie\MgAssist.exe','32'); DeleteFile('C:\Program Files (x86)\Mobogenie3\MobogenieService.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Suicide','command'); DeleteService('MobogenieService'); DeleteService('MgAssistService'); DeleteFileMask('C:\Program Files (x86)\DolkaRuIePlugin', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\DolkaRuIePlugin'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(22); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe O4 - Startup: fiji.bmp Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 Деинсталлировал Mobogenie3-->C:\Program Files (x86)\Mobogenie3\Uninstall.exe Ответ: KLAN-2366276662 daemonprocess.exe, mgassist.exe Пофиксил следующие строчки в HiJackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dllO2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)O4 - Startup: fiji.bmp Отчет о работе ClearLNK Отчет AdwCleaner (by Xplode) ClearLNK-22.12.2014_13-24.log AdwCleanerR0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 удаляйте всё найденное в AdwCleaner (можете оставить Mail.ru) новый лог приложите Цитата Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 удалил всё найденное в AdwCleaner ClearLNK-22.12.2014_14-12.log Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 096 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 Отчет не тот прикрепили. Цитата Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 отчет AdwCleaner после очистки AdwCleanerS0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 чисто.с расшифровкой никто не поможет. Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 096 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 С расшифровкой помочь не сможем, однако конкуренты ведут некоторую работу в этом направлении. Цитата Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 Спасибо за помощь. Зашифрованные файлы потеряны без возможности восстановления? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 096 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 Спасибо за помощь. Зашифрованные файлы потеряны без возможности восстановления? В прошлый раз конкурентам понадобилось на расшифровку предыдущей версии 741 шифратора около 3-4 месяцев так что, если у вас есть возможность подождать, то лучше пока подождать, возможно позднее появится решение. Цитата Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 Хорошо, спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.