Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Приветствую! Неожиданно поймал вирус, прошу Вашей помощи.

 

Суть следующая:

 

1. На почту пришло письмо о судебном извещениии (подобное письмо я ожидал, но оказалось не оно) к которому был прикрплен файл "arhiv-2.rar".

2. После распаковки содержимого, запустил сам файл, который перенаправил меня на какой-то сайт, где красным по белому написано "Принять данные о судебном извещении". После нажатия на эту надпись скачался еще один архив, в котором содержался файл "Архивная документация... ".

3. После запуска этого файла, выскочило сообщение вроде того, что эта программа условно бесплатная и я не могу ее запустить на windows.

 

 

Последствия :

 

1. Большинство файлов (а именно формата txt, jpeg и тд.) приняли формат MS-DOS

2. Также, к названию файлов  добавилась приписка "id-7531321031_protectdata@inbox"

 

 Примечание: Проводил сканирование в Avast и Dr.Web Cureit, ничего не найдено.

 

Подскажите пожалуйста что же делать, да как быть.

И еще сторонняя просьба: Объясните пожалуйста суть данного вируса.

Заранее Вам благодарен!

CollectionLog-2015.01.28-02.09.zip

Опубликовано (изменено)
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 

 

 

к которому был прикрплен файл "arhiv-2.rar

Этот файл пришлите мне в ЛС.

 

 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin    
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe');     
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe','');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe','32');  
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O4 - Startup: foxmail.bmp
O4 - Startup: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №573265.exe
 
 
Сделайте новые логи Автологгером. 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. CollectionLog-yyyy.mm.dd-hh.mm.zip
Изменено пользователем mike 1
Опубликовано

1. Скрипт выполнил, все прошло успешно.

2. Отправил файл "quarantine.zip"  в лабораторию и получил следующий ответ :

 

" quarantine.zip

Этот файл повреждён. "

 

3. KLAN-2461705121

4. в HiJackThis удалось пофиксить только "O4 - Startup: foxmail.bmp". По причине того, что вторая строка отсутствовала.

5. arhiv-2.rar отправил Вам в ЛС.

CollectionLog-2015.01.28-13.27.zip

Опубликовано

Деинсталлируйте:

SpyHunter-->MsiExec.exe /X{AF549236-6258-4AC6-A043-5B5B89C6EB61}

В остальном порядок в логах. С расшифровкой не поможем. У конкурентов вроде уже есть расшифровка.

Опубликовано

Подскажите пожалуйста каким образом нужно произвести данное действие? Деинсталляцию нужно выполнить в какой-то программе? Или же достаточно найти в поиске "MsiExec.exe" и удалить вручную?

Опубликовано

Панель управления => Установка и удаление программ. 

Опубликовано

Через панель управления удалил только SpyHunter.

Названия "MsiExec.exe" там нету. Нашел его через поиск в system32, попытался удалить вручную, но пишет что :

" Вам необходимо разрешение на выполнение этой операции

Запросите разрешение от TrustedInstaller на изменение этого файла "

Опубликовано

 

 

Через панель управления удалил только SpyHunter.

Его и нужно было удалить. 

Опубликовано

Я же написал, что с расшифровкой мы не поможем еще в сообщении № 4. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • working816
      Автор working816
      Нужна помощь!
      Зашифровались все файлы получили вот такое сообщение
      "Внимание! Вы нарушили закон! Все Ваши файлы заблокированы!
      Чтобы разблокировать файлы посетите сайт http://stpiracy.host.sk Если сайт недоступен пишите на емейл stpiracy@email.su Ваш id l.......73"
      Снос винды на помог. т.е. на диске С все работает, а на даске D все фото документы фильмы видео все заблоктровано. Везле стоит расширение файла :
      bookmarks_04.06.12.html.7Kf9uY
      25052012042.mp4.7Kf9uY
      Фото0039.jpg.7Kf9uY
      oliver-koletzki-fran-hypnotized.mp3.7Kf9uY
      Помогите! чем эту заразу убить....
    • IgorM
      Автор IgorM
      Добрый день.Получил сообщение якобы из налоговой инспекции, открыл и вирус шифровальщик "одуванчик" зашифровал все текстовые файлы.Прошу помочь с их расшифровкой.Во вложенном файле логи.Заранее благодарю.
      GeneralScript.txt
      Script2.txt
    • jazzfen
      Автор jazzfen
      Здравейте,
      заразен съм с криптовирус смени ми текстовите и ПДФ файлове добави някакво разширение ABC поради което не се отварят моля за помощ!
      ето съобщението което е във всяка папка на компа ми:
      What happened to your files ?
      All of your files were protected by a strong encryption with RSA-2048.
      More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia...._(cryptosystem)
      What does this mean ?
      This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,
      it is the same thing as losing them forever, but with our help, you can restore them.
      How did this happen ?
      Especially for you, on our server was generated the secret key pair RSA-2048 - public and private.
      All your files were encrypted with the public key, which has been transferred to your computer via the Internet.
      Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.
       
      What do I do ?
      Alas, if you do not take the necessary measures for the specified time then the conditions for obtaining the private key will be changed.
      If you really value your data, then we suggest you do not waste valuable time searching for other solutions because they do not exist.
       
      For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
      1. http://lk2gaflsgh.jg...2437118E6ACC021
      2. http://dg62wor94m.sd...2437118E6ACC021
      3. https://djdkduep62kz...2437118E6ACC021
      If for some reasons the addresses are not available, follow these steps:
      1. Download and install tor-browser: http://www.torprojec...browser.html.en
      2. After a successful installation, run the browser and wait for initialization.
      3. Type in the address bar: djdkduep62kz4nzx.onion/2437118E6ACC021
      4. Follow the instructions on the site.
      IMPORTANT INFORMATION:
      Your personal pages:
      http://lk2gaflsgh.jg...2437118E6ACC021
      http://dg62wor94m.sd...2437118E6ACC021
      https://djdkduep62kz...437118E6ACC021
      CollectionLog-2015.09.06-16.38.zip
    • Ольга Белоусова
      Автор Ольга Белоусова
      Здравствуйте, ц меня такая же проблема можете помочь? 
      AdwCleanerS1.txt
    • Александр Крицкий
      Автор Александр Крицкий
      Здравствуйте, господа. Мой компьютер подвергся заражению, в результате которой произошла так называемая шифровка программ, причем лишь я обратил внимание,что это музыка, фото, и ЧАСТЬ! видео. Видео, сохраненные в документах под блокировку не попали. После этого также начал тормозить компьютер. Итак, что делать?
×
×
  • Создать...