Перейти к содержанию

Получил по почте файл, оказался вирус.

srtc
 Share

Рекомендуемые сообщения

srtc Новичок

srtc

Опубликовано
Опубликовано

Добрый вечер. Получил по почте файл оказался вирус. Все файлы вот в таком виде 2JwcsWgdaFh1exwcNmJzomM8HRd2DZgfk56qfgOZwWyi3K8sRuG1oqBQVth4JXC3.0C42763C1D192F9E514B.crypted000007. Сделал по инструкции все предписания. Файл прикрепляю. Возможно ли восстановить информацию

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы

CollectionLog-2017.06.14-21.51.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\Марина\Desktop\Yandex.lnk
C:\Users\Марина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk

3)

Unity Web Player [2017/05/02 17:49:17]-->C:\Users\Марина\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Амиго [20170502]-->"C:\Users\Марина\AppData\Local\Amigo\Application\56.0.2924.197\Installer\setup.exe" --uninstall
Кнопка "Яндекс" на панели задач [2017/04/18 22:55:32]-->C:\Users\Марина\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned
Служба автоматического обновления программ [2017/05/02 17:48:12]-->C:\Users\Марина\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

Сами ставили? Если нет (или не используете), то деинсталируйте.

 

4)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
srtc Новичок

srtc

Опубликовано
  • Автор
Опубликовано
ClearLNK by Alex Dragokas                                 ver. 2.9.0.11
 
OS:       x32 Windows 7 Ultimate, 6.1.7601, Service Pack: 1
Time:     15.06.2017 - 00:29
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User:     Марина (group: Administrator)
 
_____________________________ Начало отчёта ____________________________
.
[ OK ] 2  "C:\Users\Марина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (Метод RN-S)   (ОК)
.
[WARN] 1  "C:\Users\Марина\Desktop\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (уже вылечен)
[WARN] 3  "C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (уже вылечен)
.
______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.
 
Всего обработано: 3
 
  Исправлено:     1
  Предупреждений: 2
____________________________ Конец отчёта ______________________________CRC32: 63009F7B

Подскажите пожалуйста как выполнить 3 пункт? 


Вот прикрепил файл по второму пункту

ClearLNK-15.06.2017_00-29.log

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Подскажите пожалуйста как выполнить 3 пункт?
Панель управления - установка и удаление программ - деинсталировать.
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=813027"
CHR NewTab: Default ->  Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-05-02]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2017-05-02]
CHR Extension: (Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2017-05-02]
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README9.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README8.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README7.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README6.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README5.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README4.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README3.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README2.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README10.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README1.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README9.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README8.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README7.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README6.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README5.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README4.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README3.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README2.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README10.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README1.txt
2017-06-14 17:48 - 2017-06-14 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\CEF
2017-06-14 15:19 - 2017-06-14 17:52 - 00000000 __SHD C:\ProgramData\Windows
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README9.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README8.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README7.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README6.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README5.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README4.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README3.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README2.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README10.txt
2017-06-15 01:12 - 2017-05-02 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\Mail.Ru
2017-06-15 01:12 - 2017-05-02 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\Amigo
2017-06-15 01:12 - 2017-04-18 22:47 - 00000000 ____D C:\Program Files\Mail.Ru
ShortcutWithArgument: C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=813022"
ShortcutWithArgument: C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=813022"
InternetURL: C:\Users\Марина\Favorites\Mail.Ru Агент - используй для общения!.url -> BASEURL: hxxp://agent.mail.ru URL: hxxp://agent.mail.ru/ru/download/agent_windows/download.html?sputnik=1
InternetURL: C:\Users\Марина\Favorites\Mail.Ru.url -> BASEURL: hxxp://www.mail.ru URL: hxxp://www.mail.ru/cnt/7861

Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Восстановление системе включите.

 

С расшифровкой помочь нечем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Алексей Андронов
      Поймали по почте шифровальщик-вымогатель
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • specxpilot
      Вирус зашифровал файлы с расширением .iw8
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • a.n.d.r.e.w
      Получил подарочек на Новый Год. Зараза зашифровала рабочий архив (((((((
      От a.n.d.r.e.w
      Привет, друзья. У меня небольшая организация, 5 рабочих мест, сисадмина нет. Есть виртуальный MS Server 2019 на VMWare работающий на одной из машин. Сервер используется как файловое хранилище и еще на нем sql работает для 1С. В конце декабря обновлял лицензию антивируса, оплатил Premium, который пытался установить и на сервер тоже, конечно не вышло. Думаю когда я искал браузер для установки антивируса тогда и налетел, потому что существующий IE не поддерживался. Последний раз работал 30.12.24, всё было норм. Когда решил заскочить проверить после НГ 01.01.25 обнаружил проблему. С машиной на которой стояла VMW всё хорошо, а в виртуальной системе все плохо. Я конечно все остановил сразу, но уже поздно было. Есть бэкап от октября, поэтому есть оригинальные файлы для анализа. Бесплатные утилиты пробовал, не получилось ничего, хотя может из-за кривых рук. Виртуальные диски скопировал. Монтировал напрямую, проверял антивирусом. Экспериментировал на копиях.
      Друзья, прошу помощи. Готов заплатить за работу!
       
      P.S. Во вложении несколько архивов
      xls, jpeg -в каждом два файла оригинал + шифрованный 
      pic - скриншоты
      htr - требования
      RFST - отчет Farbar Recovery Scan Tool 
      (местонахождение вируса выяснить не смог)
       
       
      htr.rar jpeg.rar pic.rar RFST.rar xls.rar
    • Gistap
      Два файла Dwm.exe
      От Gistap
      Когда я включаю пк у меня он начинает сильно шуметь и проц грузиться очень сильно, и грееться до 70 градусов на рабочем столе. Когда я открываю диспетчер задач до 2 dwm.exe который походу майнер снижает моментально нагрузку с цп, но его задачу можно снять и он не будет грузить систему будет только 1 dwm.exe файл. И ещё у того dwm exe который грузит цп путь такой же как и у оригинального, что мне в этом случае делать я уже всё антивирусы перепробовал и в безопасном режиме их прогонял что только я не делал, не должен же себя так вести себя dwm exe почему когда я открываю диспетчер задач нагрузка моментально падает это же не нормально. Я думал что это майнер, антивирусы находили трояны я их удалял в безопасном режиме. Почему их воопще 2 может эта ошибка системы?

    • jiil
      Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

×
×
  • Создать...