Anastasiya 0 Report post Posted December 1, 2016 Добрый вечер! В общем пришло письмо на электронку от "Ростелеком" со счетом на оплату услуг. Письмо конечно смутило, т.к. все счета оплачены, да и пришел счет совсем не та ту почту, но все равно открыла я его.. и все файлы собственно на компе зашифровались (фотки, ворд-файлы и прочее). не знаю, можно ли прикреплять файл с вирусом? прикрепила только последствия их трудов. Помогите... README1.txt hosts Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 1, 2016 Здравствуйте! Прочтите и выполните Правила подраздела Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 1, 2016 CollectionLog-2016.12.01-18.12.zip Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RebootWindows(false); end. Дополнительно: Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 только два отчета получились, может я что-то не догоняю... Addition.txt FRST.txt Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 галочку забыла поставить, простите Addition.txt FRST.txt Shortcut.txt Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\ProgramData\Windows 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README9.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README8.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README7.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README6.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README5.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README4.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README3.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README2.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README10.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README1.txt Reboot: end и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 Fixlog.txt Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 Следы вымогателя очищены. С расшифровкой, увы, помочь не сможем. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 SecurityCheck.txt Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 --------------------------- [ OtherUtilities ] ---------------------------- 7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления Adobe Shockwave Player v.12.2.4.194 Внимание! Скачать обновления Рекомендации после удаления вредоносного ПО Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 Спасибо вам! А с hosts что делать, как его исправить? Он просит администратора, чтобы сохранить изменения... Поврежденные ( зашифрованные) файлы можно удалять? Сам файл с шифрованием (вирусом) тоже висит в загрузках. hosts Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 3 минуты назад, Anastasiya сказал: А с hosts что делать, как его исправить? Изменения в нем внесены каким-либо из использовавшихся активаторов или чего-то в этом роде. Вы уверены, что хотите его изменить? 4 минуты назад, Anastasiya сказал: Поврежденные ( зашифрованные) файлы можно удалять? Да. 5 минут назад, Anastasiya сказал: Сам файл с шифрованием (вирусом) тоже висит в загрузках Поясните - в загрузках чего? Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 В hosts после решетки не должно-быть никакого текста. Верно? А в моем случае список после решетки очень длинный ( ранее его там не было). Загрузки гугл хром. Факт в том, что после этой атаки не только файлы зашифровались, реклама достает в браузерах обычная и та которой не должно быть вообще. Все расширения типа Adblock Plus ( ERR_FILE_NOT_FOUND) не включаются. Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 И еще может когда-нибудь именно на этот шифр найдется расшифровка. Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят. Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteRepair(13); RebootWindows(false); end. Компьютер перезагрузится, Hosts очистится. Из Загрузок подозрительные файлы просто удалите. Реклама появляется только в Хроме? Проверьте в IE. Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 4 минуты назад, Anastasiya сказал: Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят Не исключено. Важные файлы можете отложить до лучших времен. Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 в хром реклама и в ie тоже, им не пользуюсь Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 На работоспособность системы он никак не повлияет, поэтому оставьте. Повторите логи по Правилам подраздела Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 CollectionLog-2016.12.02-14.12.zip Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteRepair(20); RebootWindows(false); end. Компьютер перезагрузится. Сообщите что с рекламой. Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 реклама не исчезла Quote Share this post Link to post Share on other sites
Sandor 50 Report post Posted December 2, 2016 В IE тоже? Отключите Адблок и проверьте. Сообщите: к сети подключаетесь через роутер? Если да, один компьютер? Quote Share this post Link to post Share on other sites
Anastasiya 0 Report post Posted December 2, 2016 ноутбук работает от wi-fi на прямую роутер не подключен. Попробовала переустановить хром-ничего не поменялось, Отключила блок, там еще было: какая-то программа внесла настройки хрома, хотите ли вернуть старые настройки? я нажала ДА, но реклама не исчезла... На IE при открытии сразу реклама вылезает, но я им никогда не пользовалась, поэтому не знаю, что и как там должно отображаться и какой должна быть стартовая сираница. При использовании сайтов таже реклама что и на хроме. Quote Share this post Link to post Share on other sites
