Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

На почту пришло письмо якобы от службы приставов (имитация официального письма один в один, обращение по имени-отчеству) - короче, кликнула на вложенный архив, увы. Пока ничего интересного не произошло, но беспокоит меня это дело, неприятно знать, что в твоем компе копается кто-то кроме тебя(( 

Касперский ничего не нашел, CureIt нашел чего-то и полечил:

post-51238-0-26197000-1538422715_thumb.jpg

 

Архив с логами прилагаю и очень прошу помощи и совета - как жить дальше, и как узнать, не происходят ли с компом еще какие процессы нехорошие.

 

 

upd: загрузила подозрительный файл в VirusDesk, получила такой ответ:

 

Результат проверки файл заражен Найденные угрозы Trojan-Ransom.Win32.Shade.ovz Размер файла 1,16 МБ Тип файла ARC/7Z Дата проверки 2018 окт 01 22:52:33 Дата выпуска баз 2018 окт 01 19:34:41 UTC MD5 3f341f7607c9bdcbbdf8269cee937989 SHA1 d7b789ea5d68f0f77c22fe90cda3c1a79b00ce01 SHA256 1ef5105e880addff1cfa6c9081006313811b0b4630cc08eb62453d79bcfb69e0

CollectionLog-2018.10.01-23.22.zip

Изменено пользователем Maroussia
Опубликовано

доверие к антивирусу Касперского как-то вот уменьшилось

оно и до этого у вас должно было быть не самым большим с учётом, что ваша версия устарела.

 

1)

 

Google Update Helper [20180521]-->MsiExec.exe /I{60EC980A-BDA2-4CB6-A427-B07A5498B4CA}
Java 7 Update 17 [20130406]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
Java(TM) 6 Update 22 [20111020]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022F0}
Java(TM) 6 Update 29 [20111018]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF}
Kaspersky Anti-Virus [2014/11/19 22:00:47]-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E} REMOVE=ALL
Kaspersky Anti-Virus [20151009]-->MsiExec.exe /I{8ED07EBD-22AD-415A-B71E-C1AD86862C2E}

деинсталируйте эти программы.

Вместо KAV 15 поставьте актуальную версию (советую KAV 19). На всякий случай убедитесь перед удалением, что у вас ключ от него (хотя если сознательно не поставите галочку удалить информацию об лицензии, то после удаления она должна остаться и подхватится новой версией).

 

+ Почистим немного мусор.

2) "Пофиксите" в HijackThis:

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)

 

Если QIP в настройках IE прописался без вашего согласия, то при фиксе также поставьте галочки на строчки

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Page_URL] = http://qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = http://search.qip.ru/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://search.qip.ru/ie
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95289393-33EA-4F8D-B952-483415B9C955}: [URL] = http://search.qip.ru/?query={searchTerms} - QIP Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}: [URL] = http://search.qip.ru/search?query={searchTerms}&from=IE - QIP Search

3) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

4)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

5) Активного заражения у вас не видно - другими словами: Чисто.

  • Спасибо (+1) 1
Опубликовано

@regist

ай, не успела добавить важное, вы быстрее ответили! VirusDesk мне сказал "Найденные угрозы Trojan-Ransom.Win32.Shade.ovz " - с учетом этого рекоммендации те же?

Опубликовано

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
  • Согласен 1
Опубликовано

Да, уязвимости нашлись, загрузила и установила все, что посоветовали.

Спасибо!

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Екатерина Лучинина
      Автор Екатерина Лучинина
      Пару недель назад, столкнулась с проблемой, ни одну фотографию на компьютере не смогла открыть. Ну думаю, опять вирус подцепила(где и когда, не помню/не знаю), отнесу администратору на работе, должен починить...
      Принесла вчера, а он мне с порога, мол: " --Фигу, что я уже из своих фотографий увижу, если у меня их не было в другом месте." 
      А фотографии я не копировала никуда. В общем после пролитых слез полезла я поискать решение, ну и направило меня сюда.
      Поможите люди добрые, вроде все сделала по инструкции, вот лог.
       

      Ой, задвоилась тема, можно одну удалить?
      CollectionLog-2015.11.10-12.48.zip
      report1.log
      report2.log
    • Alex_hvost
      Автор Alex_hvost
      Добрый день! схожая проблема уже озвучивалась на этом форуме, следуя инструкциям создаю новую тему с тем сообщением что пришло мне:
      на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 6 файлом readme в котором написано:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B3DF8C1ACB4CD7FA4CD8|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: B3DF8C1ACB4CD7FA4CD8|0 to e-mail address files1147@gmail.com or post100023@gmail.com . Then you will receive all necessary instructions.  
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прошу вас помочь с разрешением этой ситуации Спасибо
    • borka_e
      Автор borka_e
      Знакомый принес ноутбук, говорит не выходит в интернет, на ноутбуке все или большинство файлов зашифрованы - расширение xtbl, есть ли шансы на восстановление? Согласно инструкции на этом сайте почистил систему: Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. Сделал лог AutoLogger.exe, файл прилагаю. 
      CollectionLog-2015.10.27-10.40.zip
    • bom81
      Автор bom81
      Вирус зашифровал файлы
      примерно минут за 12
       
      сам файл, который запустил пользователь, нашел
      051115scan.scr
       
       
       
      Оставлены 10 файликов  на рабочем столе о том как расшифровать
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 339759B8033610BB2417|288|2|7 на электронный адрес files100001@gmail.com или files100002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 339759B8033610BB2417|288|2|7 to e-mail address files100001@gmail.com or files100002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     могу приложить сам вирус и зашифрованные файлы     возможно ли их будет расшифровать? виндовс переставить не долго, а вот расшифровать... CollectionLog-2015.11.08-14.57.zip
    • vsmzadmin
      Автор vsmzadmin
      Пользователь открыл прикрепленный к письму архив с исполняемым файлом. В результате все документы зашифрованы, имена закодированы, расширение XTBL В файле readme.txt сообщение:  
            CollectionLog-2015.11.10-10.51.zip
×
×
  • Создать...