Jump to content
СофтФорум - всё о компьютерах и не только

Recommended Posts

Добрый вечер!
В общем пришло письмо на электронку от "Ростелеком" со счетом на оплату услуг.

Письмо конечно смутило, т.к. все счета оплачены, да и пришел счет совсем не та ту почту, но все равно открыла я его.. и все файлы собственно на компе зашифровались (фотки, ворд-файлы и прочее).

не знаю, можно ли прикреплять файл с вирусом? прикрепила только последствия их трудов.

Помогите...

README1.txt

hosts

Требования.jpg

Share this post


Link to post
Share on other sites

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Share this post


Link to post
Share on other sites

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\ProgramData\Windows
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README9.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README8.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README7.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README6.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README5.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README4.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README3.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README2.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README10.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README1.txt
Reboot:
end


и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

Share this post


Link to post
Share on other sites

Следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 

Share this post


Link to post
Share on other sites

--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления
Adobe Shockwave Player v.12.2.4.194 Внимание! Скачать обновления
 

Рекомендации после удаления вредоносного ПО

Share this post


Link to post
Share on other sites

Спасибо вам!

А с hosts что делать, как его исправить? Он просит администратора, чтобы сохранить изменения...

Поврежденные ( зашифрованные) файлы можно удалять? Сам файл с шифрованием (вирусом) тоже висит в загрузках.

hosts

Share this post


Link to post
Share on other sites
3 минуты назад, Anastasiya сказал:

А с hosts что делать, как его исправить?

Изменения в нем внесены каким-либо из использовавшихся активаторов или чего-то в этом роде. Вы уверены, что хотите его изменить?

4 минуты назад, Anastasiya сказал:

Поврежденные ( зашифрованные) файлы можно удалять?

Да.

5 минут назад, Anastasiya сказал:

Сам файл с шифрованием (вирусом) тоже висит в загрузках

Поясните - в загрузках чего?

Share this post


Link to post
Share on other sites

В  hosts после решетки не должно-быть никакого текста. Верно? А в моем случае список после решетки очень длинный ( ранее его там не было).

Загрузки гугл хром.

Факт в том, что после этой атаки не только файлы зашифровались, реклама достает в браузерах обычная и та которой не должно быть вообще. Все расширения типа Adblock Plus ( ERR_FILE_NOT_FOUND) не включаются.

вирус.png

реклама.png

Share this post


Link to post
Share on other sites

И еще может когда-нибудь именно на этот шифр найдется расшифровка. Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят.

Share this post


Link to post
Share on other sites

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится, Hosts очистится.

Из Загрузок подозрительные файлы просто удалите.

Реклама появляется только в Хроме? Проверьте в IE.

Share this post


Link to post
Share on other sites
4 минуты назад, Anastasiya сказал:

Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят

Не исключено. Важные файлы можете отложить до лучших времен.

Share this post


Link to post
Share on other sites

В IE тоже?

Отключите Адблок и проверьте. Сообщите: к сети подключаетесь через роутер? Если да, один компьютер?

Share this post


Link to post
Share on other sites

ноутбук работает от wi-fi на прямую роутер не подключен.

Попробовала переустановить хром-ничего не поменялось, Отключила блок, там еще было: какая-то программа внесла настройки хрома, хотите ли вернуть старые настройки? я нажала ДА, но реклама не исчезла...

На IE при открытии сразу реклама вылезает, но я им никогда не пользовалась, поэтому не знаю, что и как там должно отображаться и какой должна быть стартовая сираница. При использовании сайтов таже реклама что и на хроме.

стартовая IE.png

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...