Перейти к содержанию
СофтФорум - всё о компьютерах и не только

Рекомендуемые сообщения

Добрый вечер!
В общем пришло письмо на электронку от "Ростелеком" со счетом на оплату услуг.

Письмо конечно смутило, т.к. все счета оплачены, да и пришел счет совсем не та ту почту, но все равно открыла я его.. и все файлы собственно на компе зашифровались (фотки, ворд-файлы и прочее).

не знаю, можно ли прикреплять файл с вирусом? прикрепила только последствия их трудов.

Помогите...

README1.txt

hosts

Требования.jpg

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Ссылка на комментарий
Поделиться на другие сайты

только два отчета получились, может я что-то не догоняю...

Addition.txt

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\ProgramData\Windows
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README9.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README8.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README7.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README6.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README5.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README4.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README3.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README2.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README10.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README1.txt
Reboot:
end


и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
FRST_move.png

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 

Ссылка на комментарий
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления
Adobe Shockwave Player v.12.2.4.194 Внимание! Скачать обновления
 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Спасибо вам!

А с hosts что делать, как его исправить? Он просит администратора, чтобы сохранить изменения...

Поврежденные ( зашифрованные) файлы можно удалять? Сам файл с шифрованием (вирусом) тоже висит в загрузках.

hosts

Ссылка на комментарий
Поделиться на другие сайты

3 минуты назад, Anastasiya сказал:

А с hosts что делать, как его исправить?

Изменения в нем внесены каким-либо из использовавшихся активаторов или чего-то в этом роде. Вы уверены, что хотите его изменить?

4 минуты назад, Anastasiya сказал:

Поврежденные ( зашифрованные) файлы можно удалять?

Да.

5 минут назад, Anastasiya сказал:

Сам файл с шифрованием (вирусом) тоже висит в загрузках

Поясните - в загрузках чего?

Ссылка на комментарий
Поделиться на другие сайты

В  hosts после решетки не должно-быть никакого текста. Верно? А в моем случае список после решетки очень длинный ( ранее его там не было).

Загрузки гугл хром.

Факт в том, что после этой атаки не только файлы зашифровались, реклама достает в браузерах обычная и та которой не должно быть вообще. Все расширения типа Adblock Plus ( ERR_FILE_NOT_FOUND) не включаются.

вирус.png

реклама.png

Ссылка на комментарий
Поделиться на другие сайты

И еще может когда-нибудь именно на этот шифр найдется расшифровка. Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят.

Ссылка на комментарий
Поделиться на другие сайты

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится, Hosts очистится.

Из Загрузок подозрительные файлы просто удалите.

Реклама появляется только в Хроме? Проверьте в IE.

Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, Anastasiya сказал:

Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят

Не исключено. Важные файлы можете отложить до лучших времен.

Ссылка на комментарий
Поделиться на другие сайты

На работоспособность системы он никак не повлияет, поэтому оставьте.

Повторите логи по Правилам подраздела

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

Сообщите что с рекламой.

Ссылка на комментарий
Поделиться на другие сайты

В IE тоже?

Отключите Адблок и проверьте. Сообщите: к сети подключаетесь через роутер? Если да, один компьютер?

Ссылка на комментарий
Поделиться на другие сайты

ноутбук работает от wi-fi на прямую роутер не подключен.

Попробовала переустановить хром-ничего не поменялось, Отключила блок, там еще было: какая-то программа внесла настройки хрома, хотите ли вернуть старые настройки? я нажала ДА, но реклама не исчезла...

На IE при открытии сразу реклама вылезает, но я им никогда не пользовалась, поэтому не знаю, что и как там должно отображаться и какой должна быть стартовая сираница. При использовании сайтов таже реклама что и на хроме.

стартовая IE.png

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...