alex.1206 0 Опубликовано 20 декабря, 2014 Share Опубликовано 20 декабря, 2014 Здравствуйте! Случилась беда, на ноутбуке все вордовские, экселевские документы,фотки, видео зашифровались с расширением .id-8789996206_marineelizz@inbox, на рабочем столе фотка бешенного тасманийского дьявола с предложением получить для него вакцину и 2 почтовых ящика для связи, marineelizz@inbox.ru и Dibloyad@mail.vu . Проверил антивирусом Kaspersky Internet Security нашлось больше десяти троянов, вылечил систему, но файлы остались закодированными. Пробовал расшифровать с помощью Kaspersky XoristDecryptor и Kaspersky RectorDecryptor не помогло. Прошу помощи CollectionLog-2014.12.20-22.49.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 декабря, 2014 Share Опубликовано 20 декабря, 2014 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Деинсталлируйте: Mobogenie3-->C:\Program Files (x86)\Mobogenie3\Uninstall.exe Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\program files (x86)\mobogenie3\mobogenieservice.exe'); TerminateProcessByName('c:\program files (x86)\mobogenie\mgassist.exe'); TerminateProcessByName('c:\program files (x86)\mobogenie\daemonprocess.exe'); SetServiceStart('MobogenieService', 4); SetServiceStart('MgAssistService', 4); StopService('MobogenieService'); StopService('MgAssistService'); QuarantineFile('c:\program files (x86)\mobogenie3\mobogenieservice.exe',''); QuarantineFile('c:\program files (x86)\mobogenie\mgassist.exe',''); QuarantineFile('c:\program files (x86)\mobogenie\daemonprocess.exe',''); DeleteFile('c:\program files (x86)\mobogenie\daemonprocess.exe','32'); DeleteFile('C:\Program Files (x86)\Mobogenie\MgAssist.exe','32'); DeleteFile('C:\Program Files (x86)\Mobogenie3\MobogenieService.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Suicide','command'); DeleteService('MobogenieService'); DeleteService('MgAssistService'); DeleteFileMask('C:\Program Files (x86)\DolkaRuIePlugin', '*', true, ' '); DeleteDirectory('C:\Program Files (x86)\DolkaRuIePlugin'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(22); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe O4 - Startup: fiji.bmp Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 Деинсталлировал Mobogenie3-->C:\Program Files (x86)\Mobogenie3\Uninstall.exe Ответ: KLAN-2366276662 daemonprocess.exe, mgassist.exe Пофиксил следующие строчки в HiJackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dllO2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)O4 - Startup: fiji.bmp Отчет о работе ClearLNK Отчет AdwCleaner (by Xplode) ClearLNK-22.12.2014_13-24.log AdwCleanerR0.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 удаляйте всё найденное в AdwCleaner (можете оставить Mail.ru) новый лог приложите Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 удалил всё найденное в AdwCleaner ClearLNK-22.12.2014_14-12.log Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 Отчет не тот прикрепили. Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 отчет AdwCleaner после очистки AdwCleanerS0.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 чисто.с расшифровкой никто не поможет. Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 С расшифровкой помочь не сможем, однако конкуренты ведут некоторую работу в этом направлении. Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 Спасибо за помощь. Зашифрованные файлы потеряны без возможности восстановления? Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 22 декабря, 2014 Share Опубликовано 22 декабря, 2014 Спасибо за помощь. Зашифрованные файлы потеряны без возможности восстановления? В прошлый раз конкурентам понадобилось на расшифровку предыдущей версии 741 шифратора около 3-4 месяцев так что, если у вас есть возможность подождать, то лучше пока подождать, возможно позднее появится решение. Ссылка на сообщение Поделиться на другие сайты
alex.1206 0 Опубликовано 22 декабря, 2014 Автор Share Опубликовано 22 декабря, 2014 Хорошо, спасибо. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти