Anastasiya Posted December 1, 2016 Report Share Posted December 1, 2016 Добрый вечер! В общем пришло письмо на электронку от "Ростелеком" со счетом на оплату услуг. Письмо конечно смутило, т.к. все счета оплачены, да и пришел счет совсем не та ту почту, но все равно открыла я его.. и все файлы собственно на компе зашифровались (фотки, ворд-файлы и прочее). не знаю, можно ли прикреплять файл с вирусом? прикрепила только последствия их трудов. Помогите... README1.txt hosts Link to comment Share on other sites More sharing options...
Sandor Posted December 1, 2016 Report Share Posted December 1, 2016 Здравствуйте! Прочтите и выполните Правила подраздела Link to comment Share on other sites More sharing options...
Anastasiya Posted December 1, 2016 Author Report Share Posted December 1, 2016 CollectionLog-2016.12.01-18.12.zip Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RebootWindows(false); end. Дополнительно: Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 только два отчета получились, может я что-то не догоняю... Addition.txt FRST.txt Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 галочку забыла поставить, простите Addition.txt FRST.txt Shortcut.txt Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: 2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\Users\Все пользователи\Windows 2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\ProgramData\Windows 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README9.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README8.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README7.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README6.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README5.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README4.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README3.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README2.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README10.txt 2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README1.txt Reboot: end и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 Fixlog.txt Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 Следы вымогателя очищены. С расшифровкой, увы, помочь не сможем. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 SecurityCheck.txt Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 --------------------------- [ OtherUtilities ] ---------------------------- 7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления Adobe Shockwave Player v.12.2.4.194 Внимание! Скачать обновления Рекомендации после удаления вредоносного ПО Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 Спасибо вам! А с hosts что делать, как его исправить? Он просит администратора, чтобы сохранить изменения... Поврежденные ( зашифрованные) файлы можно удалять? Сам файл с шифрованием (вирусом) тоже висит в загрузках. hosts Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 3 минуты назад, Anastasiya сказал: А с hosts что делать, как его исправить? Изменения в нем внесены каким-либо из использовавшихся активаторов или чего-то в этом роде. Вы уверены, что хотите его изменить? 4 минуты назад, Anastasiya сказал: Поврежденные ( зашифрованные) файлы можно удалять? Да. 5 минут назад, Anastasiya сказал: Сам файл с шифрованием (вирусом) тоже висит в загрузках Поясните - в загрузках чего? Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 В hosts после решетки не должно-быть никакого текста. Верно? А в моем случае список после решетки очень длинный ( ранее его там не было). Загрузки гугл хром. Факт в том, что после этой атаки не только файлы зашифровались, реклама достает в браузерах обычная и та которой не должно быть вообще. Все расширения типа Adblock Plus ( ERR_FILE_NOT_FOUND) не включаются. Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 И еще может когда-нибудь именно на этот шифр найдется расшифровка. Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят. Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteRepair(13); RebootWindows(false); end. Компьютер перезагрузится, Hosts очистится. Из Загрузок подозрительные файлы просто удалите. Реклама появляется только в Хроме? Проверьте в IE. Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 4 минуты назад, Anastasiya сказал: Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят Не исключено. Важные файлы можете отложить до лучших времен. Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 в хром реклама и в ie тоже, им не пользуюсь Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 На работоспособность системы он никак не повлияет, поэтому оставьте. Повторите логи по Правилам подраздела Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 CollectionLog-2016.12.02-14.12.zip Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteRepair(20); RebootWindows(false); end. Компьютер перезагрузится. Сообщите что с рекламой. Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 реклама не исчезла Link to comment Share on other sites More sharing options...
Sandor Posted December 2, 2016 Report Share Posted December 2, 2016 В IE тоже? Отключите Адблок и проверьте. Сообщите: к сети подключаетесь через роутер? Если да, один компьютер? Link to comment Share on other sites More sharing options...
Anastasiya Posted December 2, 2016 Author Report Share Posted December 2, 2016 ноутбук работает от wi-fi на прямую роутер не подключен. Попробовала переустановить хром-ничего не поменялось, Отключила блок, там еще было: какая-то программа внесла настройки хрома, хотите ли вернуть старые настройки? я нажала ДА, но реклама не исчезла... На IE при открытии сразу реклама вылезает, но я им никогда не пользовалась, поэтому не знаю, что и как там должно отображаться и какой должна быть стартовая сираница. При использовании сайтов таже реклама что и на хроме. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now