Илья Баженов Опубликовано 13 июня, 2017 Share Опубликовано 13 июня, 2017 Помогите пожалуйста. У меня такая же проблема,как у автора темы. Сообщение от модератора Mark D. Pearlsone Перемещено из темы Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 13 июня, 2017 Share Опубликовано 13 июня, 2017 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Илья Баженов Опубликовано 13 июня, 2017 Автор Share Опубликовано 13 июня, 2017 Здраствуйте! На эл. почту пришло письмо о задолженности, после вскрытия все файлы зашифровались. Помогите расшифровать пожалуйста. Текст письма: Вaши фaйлы были зашuфpованы. Чmобы рacшuфpoвaть uх, Вaм нeобходuмo оmnpaвumь kод: 697FB858BC2C69CB891A|0 нa элekmpoнный адрес gervasiy.menyaev@gmail.com . Дaлeе вы пoлучите вce неoбходuмыe uнсmpукциu. Попытku рacшuфpoвamь caмостояmельно не пpuведym нu k чeму, кpoмe бeзвoзвратной пomерu uнформaции. Еcли вы вcё жe хomuтe попыmaтьcя, тo npедварuтельнo cделaйme peзервные konиu файлoв, иначе в случaе uх uзменeния расшифpовкa cmанет невoзмoжнoй нu при кakux уcловияx. Еслu вы нe noлyчuлu отвеma nо вышеykазaнномy адреcу в meчeниe 48 чaсoв (u mольkо в эmом cлучae!), вoсnользуйтecь фopмoй oбрamнoй cвязи. Это мoжнo сдeлaть двyмя cnoсoбами: 1) Скачайme и устанoвиmе Tor Browser no ccылke: https://www.torproject.org/download/download-easy.html.en B адpecной сmрoke Tor Browser-а введuте адрес: http://cryptsen7fo43rr6.onion/ и нажмитe Enter. 3аrрузumся сmpaницa с фoрмой обpаmной связu. 2) B любом бpayзерe nepeйдumе пo oднoмy uз aдpеcов: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Сообщение от модератора Mark D. Pearlstone Темы объединены Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 13 июня, 2017 Share Опубликовано 13 июня, 2017 @Илья Баженов, прочтите второе сообщение темы. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Илья Баженов Опубликовано 13 июня, 2017 Автор Share Опубликовано 13 июня, 2017 (изменено) Logfile of Trend Micro HijackThis v2.0.5 Scan saved at 21:36:44, on 13.06.2017 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v8.00 (8.00.7601.17514) Boot mode: Normal Running processes: C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\Desktop\HijackThis.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Users\1\AppData\Local\Yandex\YandexBrowser\Application\browser.exe C:\Windows\SysWOW64\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://yandex.ru/?clid=2101081 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://yandex.ru/search/?text={searchTerms}&clid=2101082 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = https://yandex.ru/?clid=2101081 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://yandex.ru/search/?text={searchTerms}&clid=2101082 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://yandex.ru/?clid=2101081 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.8.0_111\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre1.8.0_111\bin\jp2ssv.dll O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O23 - Service: Autodesk Application Manager Service (AdAppMgrSvc) - Autodesk Inc. - C:\Program Files (x86)\Common Files\Autodesk Shared\AppManager\R1\AdAppMgrSvc.exe O23 - Service: AfterFLICS v3 - Unknown owner - C:\Program Files (x86)\AFLICS\AfterFLICS.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: FlexNet Licensing Service 64 - Flexera Software LLC - C:\Program Files\Common Files\Macrovision Shared\FlexNet Publisher\FNPLicensingService64.exe O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe O23 - Service: mental ray Satellite for Autodesk 3ds Max 2016 64-bit (mi-raysat_3dsmax2016_64) - Unknown owner - C:\Program Files\Autodesk\3ds Max 2016\NVIDIA\Satellite\raysat_3dsmax2016_64server.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe O23 - Service: NVIDIA Streamer Network Service (NvStreamNetworkSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: SAMSUNG Mobile Connectivity Service (ss_conn_service) - DEVGURU Co., LTD. - C:\Program Files (x86)\Samsung\USB Drivers\27_ssconn\conn\ss_conn_service.exe O23 - Service: SW Update Service (SWUpdateService) - Samsung Electronics Co., Ltd. - C:\ProgramData\Samsung\SW Update Service\SWMAgent.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: Yandex.Browser Update Service (YandexBrowserService) - YANDEX LLC - C:\Program Files (x86)\Yandex\YandexBrowser\17.4.1.919\service_update.exe -- End of file - 7083 bytes hijackthis.log Изменено 13 июня, 2017 пользователем Илья Баженов Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 13 июня, 2017 Share Опубликовано 13 июня, 2017 @Илья Баженов, ещё раз, прочтите, что требуется по ссылке во втором сообщении. Выложите CollectionLog-yyyy.mm.dd-hh.mm.zip 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Илья Баженов Опубликовано 13 июня, 2017 Автор Share Опубликовано 13 июня, 2017 @Илья Баженов, прочтите второе сообщение темы. @Илья Баженов, ещё раз, прочтите, что требуется по ссылке во втором сообщении. Выложите CollectionLog-yyyy.mm.dd-hh.mm.zip Я не могу его найти. Все обыскал. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 13 июня, 2017 Share Опубликовано 13 июня, 2017 @Илья Баженов, ничего искать не нужно. По ссылке указано, что делать и где нужное находится. Читайте и выполняйте внимательно. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Илья Баженов Опубликовано 13 июня, 2017 Автор Share Опубликовано 13 июня, 2017 @Илья Баженов, ничего искать не нужно. По ссылке указано, что делать и где нужное находится. Читайте и выполняйте внимательно. CollectionLog-2017.06.13-22.52.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 июня, 2017 Share Опубликовано 13 июня, 2017 Здравствуйте! 1) Удалите остатки Аваста, Скачайте утилиту [b][url=http://files.avast.com/files/eng/aswclear.exe]aswclear.exe[/url][/b] и сохраните ее на Вашем [i]Рабочем столе[/i]; Перезагрузите компьютер [url=http://safezone.cc/forum/showthread.php?t=19645]в безопасном режиме[/url]; Запустите утилиту на выполнение; Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. ([b]Внимание[/b]: Содержимое данной папки будет [b]полностью удалено[/b]!) Нажмите [b]REMOVE[/b] Перезагрузите компьютер в нормальный режим 2) Установите себе антивирус. 3)Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\1\Favorites\Links\Интернет.url', ''); DeleteFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk'); DeleteFile('C:\Users\1\Favorites\Links\Интернет.url'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) 4) "Пофиксите" в HijackThis: O4 - MSConfig\startupreg: [Akamai NetSession Interface] C:\Users\1\AppData\Local\Akamai\netsession_win.exe (file missing) (HKCU) (2016/12/10) O4 - MSConfig\startupreg: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (file missing) (HKLM) (2017/05/27) O4 - MSConfig\startupreg: [GameCenterMailRu] C:\Users\1\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2016/12/09) O4 - MSConfig\startupreg: [PBot] C:\Users\1\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\1\AppData\Roaming\PBot\launchall.py" (HKCU) (2016/12/09) O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) 5) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Илья Баженов Опубликовано 13 июня, 2017 Автор Share Опубликовано 13 июня, 2017 (изменено) Здравствуйте! 1) Удалите остатки Аваста, Скачайте утилиту [b][url=http://files.avast.com/files/eng/aswclear.exe]aswclear.exe[/url][/b] и сохраните ее на Вашем [i]Рабочем столе[/i]; Перезагрузите компьютер [url=http://safezone.cc/forum/showthread.php?t=19645]в безопасном режиме[/url]; Запустите утилиту на выполнение; Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. ([b]Внимание[/b]: Содержимое данной папки будет [b]полностью удалено[/b]!) Нажмите [b]REMOVE[/b] Перезагрузите компьютер в нормальный режим 2) Установите себе антивирус. 3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', ''); QuarantineFile('C:\Users\1\Favorites\Links\Интернет.url', ''); DeleteFile('C:\Users\1\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk'); DeleteFile('C:\Users\1\Favorites\Links\Интернет.url'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) 4) "Пофиксите" в HijackThis: O4 - MSConfig\startupreg: [Akamai NetSession Interface] C:\Users\1\AppData\Local\Akamai\netsession_win.exe (file missing) (HKCU) (2016/12/10) O4 - MSConfig\startupreg: [DivXMediaServer] C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe (file missing) (HKLM) (2017/05/27) O4 - MSConfig\startupreg: [GameCenterMailRu] C:\Users\1\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2016/12/09) O4 - MSConfig\startupreg: [PBot] C:\Users\1\AppData\Roaming\PBot\python\pythonw.exe "C:\Users\1\AppData\Roaming\PBot\launchall.py" (HKCU) (2016/12/09) O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O21 - ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) 5) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt. Прикрепите отчет к своему следующему сообщению. Здравствуйте! KLAN-6402048167 AdwCleanerS0.txt Изменено 13 июня, 2017 пользователем Илья Баженов Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 13 июня, 2017 Share Опубликовано 13 июня, 2017 Программы от Mail.ru используете? И не надо заниматься оверквотингом, внизу есть поле для быстрого ответа. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Илья Баженов Опубликовано 13 июня, 2017 Автор Share Опубликовано 13 июня, 2017 Только почту Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 14 июня, 2017 Share Опубликовано 14 июня, 2017 Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 1 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Илья Баженов Опубликовано 14 июня, 2017 Автор Share Опубликовано 14 июня, 2017 Добрый день! AdwCleanerC2.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти