Вирус на почту

[Drew56]

Здравствуйте, по своей глупости открыл файл пришедший с почты. Теперь на рабочем столе заставка с требованием отправить на почту moshixa@aol.com 1 зашифрованный файл. Имя у всех файлов теперь стало вот таким-

email-moshiax@aol.com.ver-CL 1.0.0.0.id-VBIOUBGNUAGLRYCIPUAFMRXDIOUAFLRWCIOT-04.10.2015 7@00@272353014.randomname-AGLRXDIOUZEKQVBGMRWCINTZEKPUAG.LRX.cbf

 

КТО не знает Informer - это образец файла пришедшего вируса..Будьте осторожны!

 

Сообщение от модератора Капрал

Удалил вложение, так как палится даже 6.0.4.1611 с вердиктом
http://securelist.social-kaspersky.com/ru/descriptions/Trojan.Win32.Yakes.mqyv

Изменено 9 октября, 2015 пользователем Kapral

[mike 1]

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Drew56]

Большое спасибо.Надеюсь поможет. скачиваю.

Изменено 9 октября, 2015 пользователем Drew56

[Drew56]

Здравствуйте, получил и открыл по ошибке файл из почты. Замаскировали под деловое письмо. В последствии при перезагрузке на рабочем столе появилась заставка что все файлы зашифрованы и необходимо один из зашифрованных файлов отправить на почту moshiax@aol.com, иначе все файлы через неделю зашифруются навсегда(((. По инструкции порядка оформления запросов все сделал.

Имя файлов теперь выглядит вот так - email-moshiax@aol.com.ver-CL 1.0.0.0.id-VBIOUBGNUAGLRYCIPUAFMRXDIOUAFLRWCIOT-04.10.2015 7@00@272353014.randomname-EMRXDIOUZEKQWAGMRWCHNSYEJPUAGL.QWC.cbf

CollectionLog-2015.10.09-13.51.zip

Изменено 9 октября, 2015 пользователем Drew56

[Kapral]

Сообщение от модератора Капрал

Флуд зачищен

[Drew56]

При просмотре файла может возникнуть вопрос по поводу дат на компьютере..потому что дата была переведена.. вирус был закачен вчера, активирован сегодня при включении..по сути он с 10.10.15, но в имени файла прописана дата 04.10.2015.. ..если это как то повлияет на решение проблемы..

На всякий случай высылаю файлы FRST, Additional

??? 

Ребят?! Мне кто нибудь поможет? я тут в панике уже..((( на компе все!! вся жизнь..

FRST.txt

Addition.txt

Изменено 9 октября, 2015 пользователем Drew56

[mike 1]

Не надо присылать отчеты, которые никто не просил пока делать! 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[Drew56]

я извиняюсь...забегать вперед не буду...

 

Все сделал как сказали. Прикрепляю отчет.

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Drew56]

Все сделал как сказали...но программа создала три файла quarantine, adwcleaner(s3), adwcleaner(c1)

скидываю который запросили

кстати написал злоумышленникам, запросили на расшифровку 15000 руб., после небольшого торга скинули до 10000 руб.

огромные деньги..(((

AdwCleanerC1.txt

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Drew56]

Все сделал как сказали...

Скажите, а есть шанс что файлы расшифруются?

FRST.txt

Addition.txt

[mike 1]

В вашем случае никаких шансов.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [pr] => C:\Program Files\explore.exe
Toolbar: HKU\S-1-5-21-746137067-1614895754-1801674531-1004 -> No Name - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} -  No File
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Documents and Settings\PC 2014\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-04-22]
S2 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [X]
2015-10-04 07:35 - 2015-10-04 07:35 - 00927422 _____ C:\Program Files\desk.bmp
2015-10-04 07:00 - 2015-10-04 07:35 - 00000080 _____ C:\Program Files\KUSZEKUWPO.MNA
2015-10-04 04:46 - 2015-10-04 04:46 - 00000000 ____D C:\Program Files\ESET
2015-10-04 04:41 - 2015-10-04 04:41 - 00000064 _____ C:\Program Files\KBSBYZRYZB.RCN
2015-10-03 23:43 - 2015-10-03 23:43 - 00000065 _____ C:\Program Files\BYDGNETQPI.CFQ
2015-10-03 23:40 - 2015-10-03 23:40 - 00000000 ____D C:\Program Files\Compressed data archive
2015-10-03 23:43 - 2015-10-03 23:43 - 0000065 _____ () C:\Program Files\BYDGNETQPI.CFQ
2015-10-04 07:35 - 2015-10-04 07:35 - 0927422 _____ () C:\Program Files\desk.bmp
2015-10-04 07:35 - 2015-10-04 07:35 - 0149120 _____ () C:\Program Files\desk.jpg
2015-10-04 04:41 - 2015-10-04 04:41 - 0000064 _____ () C:\Program Files\KBSBYZRYZB.RCN
2015-10-04 07:00 - 2015-10-04 07:35 - 0000080 _____ () C:\Program Files\KUSZEKUWPO.MNA
Folder: C:\FRST\Quarantine

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[Drew56]

Все сделал...

Скажите а как вы думаете, стоит тогда платить злоумышленникам? (нужен совет, на компе вся моя жизнь(()

И подскажите какой антивирус лучше купить? ведь даже у касперского есть и internet securiti и просто антивирус..в чем различие?

Fixlog.txt

[mike 1]

Проверьте эти файлы на virustotal

C:\FRST\Quarantine\C\Program Files\Compressed data archive\one simply informer\explore.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

 

Скажите а как вы думаете, стоит тогда платить злоумышленникам?

 

Платить или нет - решать Вам. Обычно после оплаты высылают все необходимое для расшифровки.

 

И подскажите какой антивирус лучше купить?

http://www.kaspersky.ru/kav-vs-kis