Jump to content

Recommended Posts

Добрый вечер!
В общем пришло письмо на электронку от "Ростелеком" со счетом на оплату услуг.

Письмо конечно смутило, т.к. все счета оплачены, да и пришел счет совсем не та ту почту, но все равно открыла я его.. и все файлы собственно на компе зашифровались (фотки, ворд-файлы и прочее).

не знаю, можно ли прикреплять файл с вирусом? прикрепила только последствия их трудов.

Помогите...

README1.txt

hosts

Требования.jpg

Link to comment
Share on other sites

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Link to comment
Share on other sites

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\ProgramData\Windows
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README9.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README8.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README7.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README6.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README5.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README4.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README3.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README2.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README10.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README1.txt
Reboot:
end


и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

Link to comment
Share on other sites

Следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 

Link to comment
Share on other sites

--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления
Adobe Shockwave Player v.12.2.4.194 Внимание! Скачать обновления
 

Рекомендации после удаления вредоносного ПО

Link to comment
Share on other sites

Спасибо вам!

А с hosts что делать, как его исправить? Он просит администратора, чтобы сохранить изменения...

Поврежденные ( зашифрованные) файлы можно удалять? Сам файл с шифрованием (вирусом) тоже висит в загрузках.

hosts

Link to comment
Share on other sites

3 минуты назад, Anastasiya сказал:

А с hosts что делать, как его исправить?

Изменения в нем внесены каким-либо из использовавшихся активаторов или чего-то в этом роде. Вы уверены, что хотите его изменить?

4 минуты назад, Anastasiya сказал:

Поврежденные ( зашифрованные) файлы можно удалять?

Да.

5 минут назад, Anastasiya сказал:

Сам файл с шифрованием (вирусом) тоже висит в загрузках

Поясните - в загрузках чего?

Link to comment
Share on other sites

В  hosts после решетки не должно-быть никакого текста. Верно? А в моем случае список после решетки очень длинный ( ранее его там не было).

Загрузки гугл хром.

Факт в том, что после этой атаки не только файлы зашифровались, реклама достает в браузерах обычная и та которой не должно быть вообще. Все расширения типа Adblock Plus ( ERR_FILE_NOT_FOUND) не включаются.

вирус.png

реклама.png

Link to comment
Share on other sites

И еще может когда-нибудь именно на этот шифр найдется расшифровка. Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят.

Link to comment
Share on other sites

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится, Hosts очистится.

Из Загрузок подозрительные файлы просто удалите.

Реклама появляется только в Хроме? Проверьте в IE.

Link to comment
Share on other sites

4 минуты назад, Anastasiya сказал:

Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят

Не исключено. Важные файлы можете отложить до лучших времен.

Link to comment
Share on other sites

ноутбук работает от wi-fi на прямую роутер не подключен.

Попробовала переустановить хром-ничего не поменялось, Отключила блок, там еще было: какая-то программа внесла настройки хрома, хотите ли вернуть старые настройки? я нажала ДА, но реклама не исчезла...

На IE при открытии сразу реклама вылезает, но я им никогда не пользовалась, поэтому не знаю, что и как там должно отображаться и какой должна быть стартовая сираница. При использовании сайтов таже реклама что и на хроме.

стартовая IE.png

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...