Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

На почту пришло письмо якобы от службы приставов (имитация официального письма один в один, обращение по имени-отчеству) - короче, кликнула на вложенный архив, увы. Пока ничего интересного не произошло, но беспокоит меня это дело, неприятно знать, что в твоем компе копается кто-то кроме тебя(( 

Касперский ничего не нашел, CureIt нашел чего-то и полечил:

post-51238-0-26197000-1538422715_thumb.jpg

 

Архив с логами прилагаю и очень прошу помощи и совета - как жить дальше, и как узнать, не происходят ли с компом еще какие процессы нехорошие.

 

 

upd: загрузила подозрительный файл в VirusDesk, получила такой ответ:

 

Результат проверки файл заражен Найденные угрозы Trojan-Ransom.Win32.Shade.ovz Размер файла 1,16 МБ Тип файла ARC/7Z Дата проверки 2018 окт 01 22:52:33 Дата выпуска баз 2018 окт 01 19:34:41 UTC MD5 3f341f7607c9bdcbbdf8269cee937989 SHA1 d7b789ea5d68f0f77c22fe90cda3c1a79b00ce01 SHA256 1ef5105e880addff1cfa6c9081006313811b0b4630cc08eb62453d79bcfb69e0

CollectionLog-2018.10.01-23.22.zip

Изменено пользователем Maroussia
Опубликовано

доверие к антивирусу Касперского как-то вот уменьшилось

оно и до этого у вас должно было быть не самым большим с учётом, что ваша версия устарела.

 

1)

 

Google Update Helper [20180521]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Java 7 Update 17 [20130406]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
Java(TM) 6 Update 22 [20111020]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022F0}
Java(TM) 6 Update 29 [20111018]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF}
Kaspersky Anti-Virus [2014/11/19 22:00:47]-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E} REMOVE=ALL
Kaspersky Anti-Virus [20151009]-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E}

деинсталируйте эти программы.

Вместо KAV 15 поставьте актуальную версию (советую KAV 19). На всякий случай убедитесь перед удалением, что у вас ключ от него (хотя если сознательно не поставите галочку удалить информацию об лицензии, то после удаления она должна остаться и подхватится новой версией).

 

+ Почистим немного мусор.

2) "Пофиксите" в HijackThis:

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)

 

Если QIP в настройках IE прописался без вашего согласия, то при фиксе также поставьте галочки на строчки

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = http://search.qip.ru/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://search.qip.ru/ie
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95289393-33EA-4F8D-B952-483415B9C955}: [URL] = http://search.qip.ru/?query={searchTerms} - QIP Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: [URL] = http://search.qip.ru/search?query={searchTerms}&from=IE - QIP Search

3) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

4)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

5) Активного заражения у вас не видно - другими словами: Чисто.

  • Спасибо (+1) 1
Опубликовано

@regist

ай, не успела добавить важное, вы быстрее ответили! VirusDesk мне сказал "Найденные угрозы Trojan-Ransom.Win32.Shade.ovz " - с учетом этого рекоммендации те же?

Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Согласен 1
Опубликовано

Да, уязвимости нашлись, загрузила и установила все, что посоветовали.

Спасибо!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • charlys
      Автор charlys
      Господа!
       
      Прошу помощи. Ребенок притащил какую-то гадость на компьютер. Как результат, все документы у меня теперь зашифрованы и имеют расширение .xtbl Примерный вид имени файла таков:
      5GhjfZ03Kj+fV0aaKRDQ98RjwY-BBbwP5oWbjmK42LA=.xtbl
       
      Есть ли возможность восстановить данные?
      "Порядок оформления запроса о помощи" соблюден. Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt! подчистили всякие бяки. Файл протоколов логов прикладываю.
      Очень надеюсь на ваши знания и, возможную, помощь. Заранее благодарю!
      CollectionLog-2015.08.22-17.15.zip
    • Banz26
      Автор Banz26
      Зашифрованные файлы (фото,видео)
      CollectionLog-2015.10.05-13.43.zip
    • Edger
      Автор Edger
      фАЙЛЫ приняли расширение xtbl Жаль детских фото 
      CollectionLog-2015.09.08-16.19.zip
      report1.log
      report2.log
    • Edger
      Автор Edger
      зашифрованы файлы в расширение .xtbl
      CollectionLog-2015.09.30-19.25.zip
    • kiddr
      Автор kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
×
×
  • Создать...