Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Вирус на почту

Drew56

Автор Drew56
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Drew56 Новичок

Drew56

Опубликовано
Опубликовано (изменено)

Здравствуйте, по своей глупости открыл файл пришедший с почты. Теперь на рабочем столе заставка с требованием отправить на почту moshixa@aol.com 1 зашифрованный файл. Имя у всех файлов теперь стало вот таким-

email-moshiax@aol.com.ver-CL 1.0.0.0.id-VBIOUBGNUAGLRYCIPUAFMRXDIOUAFLRWCIOT-04.10.2015 7@00@272353014.randomname-AGLRXDIOUZEKQVBGMRWCINTZEKPUAG.LRX.cbf

 

КТО не знает Informer - это образец файла пришедшего вируса..Будьте осторожны!

 

Сообщение от модератора Капрал
Удалил вложение, так как палится даже 6.0.4.1611 с вердиктом
http://securelist.social-kaspersky.com/ru/descriptions/Trojan.Win32.Yakes.mqyv
Изменено пользователем Kapral
Ссылка на комментарий
Поделиться на другие сайты
Drew56 Новичок

Drew56

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте, получил и открыл по ошибке файл из почты. Замаскировали под деловое письмо. В последствии при перезагрузке на рабочем столе появилась заставка что все файлы зашифрованы и необходимо один из зашифрованных файлов отправить на почту moshiax@aol.com, иначе все файлы через неделю зашифруются навсегда(((. По инструкции порядка оформления запросов все сделал.

Имя файлов теперь выглядит вот так - email-moshiax@aol.com.ver-CL 1.0.0.0.id-VBIOUBGNUAGLRYCIPUAFMRXDIOUAFLRWCIOT-04.10.2015 7@00@272353014.randomname-EMRXDIOUZEKQWAGMRWCHNSYEJPUAGL.QWC.cbf

CollectionLog-2015.10.09-13.51.zip

Изменено пользователем Drew56
Ссылка на комментарий
Поделиться на другие сайты
Drew56 Новичок

Drew56

Опубликовано
  • Автор
Опубликовано (изменено)

При просмотре файла может возникнуть вопрос по поводу дат на компьютере..потому что дата была переведена.. вирус был закачен вчера, активирован сегодня при включении..по сути он с 10.10.15, но в имени файла прописана дата 04.10.2015.. ..если это как то повлияет на решение проблемы..


На всякий случай высылаю файлы FRST, Additional


??? 


Ребят?! Мне кто нибудь поможет? я тут в панике уже..((( на компе все!! вся жизнь..

FRST.txt

Addition.txt

Изменено пользователем Drew56
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Не надо присылать отчеты, которые никто не просил пока делать! 

 

 



Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.


 

Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
Drew56 Новичок

Drew56

Опубликовано
  • Автор
Опубликовано

Все сделал как сказали...но программа создала три файла quarantine, adwcleaner(s3), adwcleaner(c1)

скидываю который запросили


кстати написал злоумышленникам, запросили на расшифровку 15000 руб., после небольшого торга скинули до 10000 руб.


огромные деньги..(((

AdwCleanerC1.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

В вашем случае никаких шансов.

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!
 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [pr] => C:\Program Files\explore.exe
Toolbar: HKU\S-1-5-21-746137067-1614895754-1801674531-1004 -> No Name - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} -  No File
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Documents and Settings\PC 2014\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-04-22]
S2 MgAssistService; C:\Program Files\Mobogenie\MgAssist.exe [X]
2015-10-04 07:35 - 2015-10-04 07:35 - 00927422 _____ C:\Program Files\desk.bmp
2015-10-04 07:00 - 2015-10-04 07:35 - 00000080 _____ C:\Program Files\KUSZEKUWPO.MNA
2015-10-04 04:46 - 2015-10-04 04:46 - 00000000 ____D C:\Program Files\ESET
2015-10-04 04:41 - 2015-10-04 04:41 - 00000064 _____ C:\Program Files\KBSBYZRYZB.RCN
2015-10-03 23:43 - 2015-10-03 23:43 - 00000065 _____ C:\Program Files\BYDGNETQPI.CFQ
2015-10-03 23:40 - 2015-10-03 23:40 - 00000000 ____D C:\Program Files\Compressed data archive
2015-10-03 23:43 - 2015-10-03 23:43 - 0000065 _____ () C:\Program Files\BYDGNETQPI.CFQ
2015-10-04 07:35 - 2015-10-04 07:35 - 0927422 _____ () C:\Program Files\desk.bmp
2015-10-04 07:35 - 2015-10-04 07:35 - 0149120 _____ () C:\Program Files\desk.jpg
2015-10-04 04:41 - 2015-10-04 04:41 - 0000064 _____ () C:\Program Files\KBSBYZRYZB.RCN
2015-10-04 07:00 - 2015-10-04 07:35 - 0000080 _____ () C:\Program Files\KUSZEKUWPO.MNA
Folder: C:\FRST\Quarantine
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на комментарий
Поделиться на другие сайты
Drew56 Новичок

Drew56

Опубликовано
  • Автор
Опубликовано

Все сделал...

Скажите а как вы думаете, стоит тогда платить злоумышленникам? (нужен совет, на компе вся моя жизнь:((()

И подскажите какой антивирус лучше купить? ведь даже у касперского есть и internet securiti и просто антивирус..в чем различие?

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Проверьте эти файлы на virustotal 
C:\FRST\Quarantine\C\Program Files\Compressed data archive\one simply informer\explore.exe
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 
 

Скажите а как вы думаете, стоит тогда платить злоумышленникам?

 

Платить или нет - решать Вам. Обычно после оплаты высылают все необходимое для расшифровки.

 

И подскажите какой антивирус лучше купить?

http://www.kaspersky.ru/kav-vs-kis

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Hikobana
      Взлом почты, телеграмма, Steam
      Автор Hikobana
      Началось все с того, что 17.03 я обнаружила, что средства с Steam были потрачены путем покупки через торговую площадку. Доступа к аккаунту нет ни у кого, защита не подала никаких видов. Я поменяла пароль. В то же время, я заподозрила неладное с несколькими почтами от mail. Так же нигде не сработал аунтификатор. Везде поменяла пароли. На следующий день все повторилось и так продолжалось 3 дня. Итогом стало, что я поставила новую винду с 0. Все хорошо,  вроде прекратилось, случилось то, что взломали аккаунт Телеграмм. Вчера от меня началась рассылка в Дискорде, при том, что я сама находилась в нем. Никакая защита совершенно не сработала. После дискорда, пришло уведомление на WatsApp о попытки зайти на аккаунт. 
      CollectionLog-2025.05.02-06.01.zip
    • Sergey_user
      Почта для выкупа kelianydo
      Автор Sergey_user
      Здравствуйте! Столкнулись с этой же проблемой, что и автор темы.
      Почта для выкупа та же kelianydo[собака]gmail.com.
      Не появилось у вас решения данного шифровальщика?список файлов.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ferri
      [РЕШЕНО] Обнауржен вирус CAAServieces.exe
      Автор Ferri
      Доброго времени суток.

      Столкнулась с проблемой майнер CAAServieces.exe. Начала искать способы по отключению, удалению вируса. Отключить отключила, Из реестра удалила, Удалила. Провела несколько проверок через антивирусы - чисто. Только при перезагрузке и некоторого времени (1-2 минуты) создается снова папка и файл с вирусом (но не запускается) по расположению: C:\ProgramData\CAAService.

      Прикладываю проверку с KVRT и AutoLogger.

      Найдя на форуме такую же проблему - уже решённую ранее - прикрепляю логи из FRST64

      CollectionLog-2025.07.19-02.48.zip Addition.txt FRST.txt
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
×
×
  • Создать...