Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

На почту пришло письмо якобы от службы приставов (имитация официального письма один в один, обращение по имени-отчеству) - короче, кликнула на вложенный архив, увы. Пока ничего интересного не произошло, но беспокоит меня это дело, неприятно знать, что в твоем компе копается кто-то кроме тебя(( 

Касперский ничего не нашел, CureIt нашел чего-то и полечил:

post-51238-0-26197000-1538422715_thumb.jpg

 

Архив с логами прилагаю и очень прошу помощи и совета - как жить дальше, и как узнать, не происходят ли с компом еще какие процессы нехорошие.

 

 

upd: загрузила подозрительный файл в VirusDesk, получила такой ответ:

 

Результат проверки файл заражен Найденные угрозы Trojan-Ransom.Win32.Shade.ovz Размер файла 1,16 МБ Тип файла ARC/7Z Дата проверки 2018 окт 01 22:52:33 Дата выпуска баз 2018 окт 01 19:34:41 UTC MD5 3f341f7607c9bdcbbdf8269cee937989 SHA1 d7b789ea5d68f0f77c22fe90cda3c1a79b00ce01 SHA256 1ef5105e880addff1cfa6c9081006313811b0b4630cc08eb62453d79bcfb69e0

CollectionLog-2018.10.01-23.22.zip

Изменено пользователем Maroussia
Опубликовано

доверие к антивирусу Касперского как-то вот уменьшилось

оно и до этого у вас должно было быть не самым большим с учётом, что ваша версия устарела.

 

1)

 

Google Update Helper [20180521]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Java 7 Update 17 [20130406]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
Java(TM) 6 Update 22 [20111020]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022F0}
Java(TM) 6 Update 29 [20111018]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF}
Kaspersky Anti-Virus [2014/11/19 22:00:47]-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E} REMOVE=ALL
Kaspersky Anti-Virus [20151009]-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E}

деинсталируйте эти программы.

Вместо KAV 15 поставьте актуальную версию (советую KAV 19). На всякий случай убедитесь перед удалением, что у вас ключ от него (хотя если сознательно не поставите галочку удалить информацию об лицензии, то после удаления она должна остаться и подхватится новой версией).

 

+ Почистим немного мусор.

2) "Пофиксите" в HijackThis:

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)

 

Если QIP в настройках IE прописался без вашего согласия, то при фиксе также поставьте галочки на строчки

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = http://search.qip.ru/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://search.qip.ru/ie
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95289393-33EA-4F8D-B952-483415B9C955}: [URL] = http://search.qip.ru/?query={searchTerms} - QIP Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: [URL] = http://search.qip.ru/search?query={searchTerms}&from=IE - QIP Search

3) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

4)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

5) Активного заражения у вас не видно - другими словами: Чисто.

  • Спасибо (+1) 1
Опубликовано

@regist

ай, не успела добавить важное, вы быстрее ответили! VirusDesk мне сказал "Найденные угрозы Trojan-Ransom.Win32.Shade.ovz " - с учетом этого рекоммендации те же?

Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Согласен 1
Опубликовано

Да, уязвимости нашлись, загрузила и установила все, что посоветовали.

Спасибо!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • falc0n
      Автор falc0n
      Вирус зашифровал файлы на компьютере, расширение у зашифрованных файлов .xtbl. На рабочем столе красная надпись предупреждающая об этом. в текстовом файле информация от злоумышленников (в прикрепленных файлах)
      README1.txt
      CollectionLog-2015.09.21-14.04.zip
    • tonytony
      Автор tonytony
      Здравствуйте, появились файлы README от 1 - 10 , в каждом таком файле один и тот же текст :
        Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: A73631ABC6FABAA73B13|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: A73631ABC6FABAA73B13|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Что мне с этим делать?  Файлы которые нужно прикрепить вот они, надеюсь я правильно выполнил данную операцию  CollectionLog-2015.09.23-13.02.zip
    • SergeyAO
      Автор SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
    • Йоптель
      Автор Йоптель
      Доброго времени суток. Случилась беда (и возникли некоторые нюансы). На компьютере из за действия какой то вредоносной программы, зашифровались все фотографии с расширением *.xtbl и появился текстовый файл с таким текстом:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 2E939351FF076C2B69B7|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   По не знанию, да и по торопливости, была пере установлена ОС с полным форматированием диска. Но папки с файлами были скопированы на DVD. В последствии они не открылись и на вновь установленной ОС.   Прошу помощи.   P.S. В прикрепленных, текстовый файл с текстом приведенным выше. README5.txt
    • mikaua
      Автор mikaua
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      E8C1480D46A8A89F2B83|0
      на электронный адрес files100001@gmail.com или files100002@gmail.com .
      Далее вы получите все необходимые инструкции.
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      E8C1480D46A8A89F2B83|0
      to e-mail address files100001@gmail.com or files100002@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      CollectionLog-2015.09.17-20.10.zip
×
×
  • Создать...