Перейти к содержанию

Вирус-шифровальщик moshiax@aol.com

Zerling777
 Поделиться

Рекомендуемые сообщения

Zerling777 Новичок

Zerling777

Опубликовано
Опубликовано

День добрый!

Жене на работе "по работе" прислали письмо. Когда она открыла документ-говорит что-то установилось!На рабочем столе вылезла надпись-твои файлы зашифрованы, если хочешь все вернуть-отправь 1 зашифрованный файл на почту : moshiax@aol.com  и так далее.

Пишу с зараженного компа!!!

 

Лог прилагаю!

 

CollectionLog-2015.05.28-19.44.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Program Files (x86)\flashcodec.exe','');
 DeleteFile('C:\Program Files (x86)\flashcodec.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
 DeleteFile('C:\WINDOWS\system32\Tasks\Advanced System Protector','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Advanced System Protector_startup','64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 
Сделайте новые логи Автологгером. 
 
 
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Похоже уже все очистили.

 

Скачайте Farbar Recovery Scan Tool  FRST_canned.png?dl=1 и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

FRST.png?dl=1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
2015-05-28 14:18 - 2015-05-28 14:18 - 00156286 _____ () C:\Program Files (x86)\desk1.bmp
2015-05-28 10:58 - 2015-05-28 21:13 - 00000000 ____D () C:\Program Files (x86)\Информационные технологии РФ
2015-05-28 10:58 - 2015-05-28 11:54 - 00000081 _____ () C:\Program Files (x86)\RMFADZIIBY.MCO
2015-05-28 14:18 - 2015-05-28 14:18 - 0156286 _____ () C:\Program Files (x86)\desk.jpg
2015-05-28 14:18 - 2015-05-28 14:18 - 0156286 _____ () C:\Program Files (x86)\desk1.bmp
2015-05-28 10:58 - 2015-05-28 11:54 - 0000081 _____ () C:\Program Files (x86)\RMFADZIIBY.MCO
2014-01-11 04:52 - 2015-05-28 21:17 - 0000062 _____ () C:\Users\User\AppData\Roaming\sp_data.sys
2013-05-02 02:45 - 2012-09-07 14:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 02:45 - 2009-07-22 13:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 02:45 - 2012-09-07 14:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
2013-09-01 03:12 - 2013-09-01 03:12 - 0000109 _____ () C:\ProgramData\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log
2014-01-10 14:21 - 2014-01-10 14:22 - 0000105 _____ () C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
2014-01-10 14:20 - 2014-01-10 14:21 - 0000107 _____ () C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
2013-09-01 03:07 - 2013-09-01 03:10 - 0000110 _____ () C:\ProgramData\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}.log
2013-09-01 03:10 - 2013-09-01 03:12 - 0000108 _____ () C:\ProgramData\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}.log
2013-09-01 03:06 - 2013-09-01 03:07 - 0000110 _____ () C:\ProgramData\{E3739848-5329-48E3-8D28-5BBD6E8BE384}.log
Folder: C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
 
 
 
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Я хочу кое-что проверить, но мне нужен удаленный доступ к этому компьютеру. Скачайте TeamViewer, запустите и напишите id с паролем в ЛС, которая сгененерирует программа

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Keldenis
      Вирус-шифровальщик. Сервер 1с.
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)

    • Olga650
      вирус шифровальщик (.1mJ3g1TA4)
      Автор Olga650
      Addition.txtFRST.txtТабель 2025 (.1mJ3g1TA4)  ссылка удалена облако с вирусом (без пароля)
      Отчёт Касперского.txt 1mJ3g1TA4.README.txt  Поймали вирус шифровальщик 26.02. Антивирус не стоял. После был установлен Касперский стандарт. Стандартные решения по расшифровке не помогли. Удалось найти несколько документов оригиналов, до шифровки и после.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные файлы, а также ссылки на них.
       
    • boshs
      вирус шифровальщик UUUUUU.uuu
      Автор boshs
      Помогите пожалуйста с вирусом шифровальщиком UUUUUUU.uuu на флешке (204гб информации, видео, фото, файлов и т.д) файлы были опознаны как ошибка системой виндовс из-за чего файлы перестали быть видны, но при этом их данные видны через программы, резервных копий нету, изменять файлы (заархивированный файл, zip и ярлык не создаются)
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      Автор CreativeArch
      Log.7z
×
×
  • Создать...