Перейти к содержанию

Получил по почте файл, оказался вирус.

srtc
 Share

Рекомендуемые сообщения

srtc Новичок

srtc

Опубликовано
Опубликовано

Добрый вечер. Получил по почте файл оказался вирус. Все файлы вот в таком виде 2JwcsWgdaFh1exwcNmJzomM8HRd2DZgfk56qfgOZwWyi3K8sRuG1oqBQVth4JXC3.0C42763C1D192F9E514B.crypted000007. Сделал по инструкции все предписания. Файл прикрепляю. Возможно ли восстановить информацию

 

Сообщение от модератора Mark D. Pearlstone
Перемещено из темы

CollectionLog-2017.06.14-21.51.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\Марина\Desktop\Yandex.lnk
C:\Users\Марина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk

3)

Unity Web Player [2017/05/02 17:49:17]-->C:\Users\Марина\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Амиго [20170502]-->"C:\Users\Марина\AppData\Local\Amigo\Application\56.0.2924.197\Installer\setup.exe" --uninstall
Кнопка "Яндекс" на панели задач [2017/04/18 22:55:32]-->C:\Users\Марина\AppData\Local\Yandex\YaPin\YandexWorking.exe --uninstall --nopinned
Служба автоматического обновления программ [2017/05/02 17:48:12]-->C:\Users\Марина\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall

Сами ставили? Если нет (или не используете), то деинсталируйте.

 

4)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
srtc Новичок

srtc

Опубликовано
  • Автор
Опубликовано
ClearLNK by Alex Dragokas                                 ver. 2.9.0.11
 
OS:       x32 Windows 7 Ultimate, 6.1.7601, Service Pack: 1
Time:     15.06.2017 - 00:29
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User:     Марина (group: Administrator)
 
_____________________________ Начало отчёта ____________________________
.
[ OK ] 2  "C:\Users\Марина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (Метод RN-S)   (ОК)
.
[WARN] 1  "C:\Users\Марина\Desktop\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (уже вылечен)
[WARN] 3  "C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk"    -> [ "C:\Users\Марина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" ]   (уже вылечен)
.
______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.
 
Всего обработано: 3
 
  Исправлено:     1
  Предупреждений: 2
____________________________ Конец отчёта ______________________________CRC32: 63009F7B

Подскажите пожалуйста как выполнить 3 пункт? 


Вот прикрепил файл по второму пункту

ClearLNK-15.06.2017_00-29.log

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Подскажите пожалуйста как выполнить 3 пункт?
Панель управления - установка и удаление программ - деинсталировать.
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=813027"
CHR NewTab: Default ->  Not-active:"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html"
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2017-05-02]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2017-05-02]
CHR Extension: (Mail.Ru) - C:\Users\Марина\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2017-05-02]
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README9.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README8.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README7.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README6.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README5.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README4.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README3.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README2.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README10.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Марина\Desktop\README1.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README9.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README8.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README7.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README6.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README5.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README4.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README3.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README2.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README10.txt
2017-06-14 17:50 - 2017-06-14 17:50 - 00004154 _____ C:\Users\Public\Desktop\README1.txt
2017-06-14 17:48 - 2017-06-14 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\CEF
2017-06-14 15:19 - 2017-06-14 17:52 - 00000000 __SHD C:\ProgramData\Windows
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README9.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README8.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README7.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README6.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README5.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README4.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README3.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README2.txt
2017-06-14 15:19 - 2017-06-14 15:19 - 00004154 _____ C:\README10.txt
2017-06-15 01:12 - 2017-05-02 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\Mail.Ru
2017-06-15 01:12 - 2017-05-02 17:48 - 00000000 ____D C:\Users\Марина\AppData\Local\Amigo
2017-06-15 01:12 - 2017-04-18 22:47 - 00000000 ____D C:\Program Files\Mail.Ru
ShortcutWithArgument: C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=813022"
ShortcutWithArgument: C:\Users\Марина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=813022"
InternetURL: C:\Users\Марина\Favorites\Mail.Ru Агент - используй для общения!.url -> BASEURL: hxxp://agent.mail.ru URL: hxxp://agent.mail.ru/ru/download/agent_windows/download.html?sputnik=1
InternetURL: C:\Users\Марина\Favorites\Mail.Ru.url -> BASEURL: hxxp://www.mail.ru URL: hxxp://www.mail.ru/cnt/7861

Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Восстановление системе включите.

 

С расшифровкой помочь нечем.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Кристина1983
      По электронной почте прислали вредоносный файл
      От Кристина1983
      Здравствуйте! Вчера по электронной почте пришел вредоносный файл, якобы Накладная.pdf, но файл был не PDF, просто маскировался. Письмо из почты удалила, при попытке почистить папку удаленные, через несколько секунд это удаленное письмо в удаленных восстанавливалось (почтовый клиент Thunderbird). Касперским проверила лог прилагаю, но в почтовом клиенте опять в удаленных было это письмо. Снова запустила утилиту Касперского с полной проверкой. Было проведено лечение с перезагрузкой.
      Прошу проверить остались ли вредоносные следы в системе? 
       
      Логи Kaspersky Virus Removal Tool Reports.rar
      Логи AutoLogger, после того как отработал Kaspersky Virus Removal Tool
      CollectionLog-2025.02.06-15.12.zip
    • Galymzhan
      зашифровали файлы, оставили почту platishilidrocish@fear.pw
      От Galymzhan
      На комп зашли через RD и зашифровали файлы, оставили почту platishilidrocish@fear.pw для расшифровки требуют плату, требования и шифрованные файлы закрепил
      FRST.zip Требования.zip зашифрованные файлы.zip
    • CreativeArch
      Вирус шифровальщик, можно ли восстановить файлы?
      От CreativeArch
      Log.7z
    • CHEAX
      [РЕШЕНО] Два файла dwm.exe, один из которых вирус.
      От CHEAX
      Один из файлов грузит систему, ни один антивирус поймать не может, в том числе Касперский Премиум. На данном форуме видел подобные темы, uVS скачан. Просьба помочь в решении вопроса.

    • Kemel
      Вирус зашифровал файлы с расширением .Frank
      От Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
×
×
  • Создать...