Вирус-Вымогатель

[Anastasiya]

Добрый вечер!
В общем пришло письмо на электронку от "Ростелеком" со счетом на оплату услуг.

Письмо конечно смутило, т.к. все счета оплачены, да и пришел счет совсем не та ту почту, но все равно открыла я его.. и все файлы собственно на компе зашифровались (фотки, ворд-файлы и прочее).

не знаю, можно ли прикреплять файл с вирусом? прикрепила только последствия их трудов.

Помогите...

README1.txt

hosts

[Sandor]

Здравствуйте!

 

Прочтите и выполните Правила подраздела

[Anastasiya]

CollectionLog-2016.12.01-18.12.zip

[Sandor]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[Anastasiya]

только два отчета получились, может я что-то не догоняю...

Addition.txt

FRST.txt

[Anastasiya]

галочку забыла поставить, простите

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\Users\Все пользователи\Windows
2016-11-30 13:51 - 2016-11-30 20:46 - 00000000 __SHD C:\ProgramData\Windows
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README9.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README8.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README7.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README6.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README5.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README4.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README3.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README2.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README10.txt
2016-11-30 13:51 - 2016-11-30 13:51 - 00004170 _____ C:\README1.txt
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 

[Anastasiya]

Fixlog.txt

[Sandor]

Следы вымогателя очищены. С расшифровкой, увы, помочь не сможем.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Anastasiya]

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42973 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 111 v.8.0.1110.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u112-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 22 ActiveX v.22.0.0.210 Внимание! Скачать обновления
Adobe Shockwave Player v.12.2.4.194 Внимание! Скачать обновления
 

Рекомендации после удаления вредоносного ПО

[Anastasiya]

Спасибо вам!

А с hosts что делать, как его исправить? Он просит администратора, чтобы сохранить изменения...

Поврежденные ( зашифрованные) файлы можно удалять? Сам файл с шифрованием (вирусом) тоже висит в загрузках.

hosts

[Sandor]

3 минуты назад, Anastasiya сказал:

А с hosts что делать, как его исправить?

Изменения в нем внесены каким-либо из использовавшихся активаторов или чего-то в этом роде. Вы уверены, что хотите его изменить?

4 минуты назад, Anastasiya сказал:

Поврежденные ( зашифрованные) файлы можно удалять?

Да.

5 минут назад, Anastasiya сказал:

Сам файл с шифрованием (вирусом) тоже висит в загрузках

Поясните - в загрузках чего?

[Anastasiya]

В  hosts после решетки не должно-быть никакого текста. Верно? А в моем случае список после решетки очень длинный ( ранее его там не было).

Загрузки гугл хром.

Факт в том, что после этой атаки не только файлы зашифровались, реклама достает в браузерах обычная и та которой не должно быть вообще. Все расширения типа Adblock Plus ( ERR_FILE_NOT_FOUND) не включаются.

[Anastasiya]

И еще может когда-нибудь именно на этот шифр найдется расшифровка. Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят.

[Sandor]

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteRepair(13);
RebootWindows(false);
end.

Компьютер перезагрузится, Hosts очистится.

Из Загрузок подозрительные файлы просто удалите.

Реклама появляется только в Хроме? Проверьте в IE.

[Sandor]

4 минуты назад, Anastasiya сказал:

Может и не стоит удалять все файлы. Когда-нибудь их (вымогателей) придавят

Не исключено. Важные файлы можете отложить до лучших времен.

[Anastasiya]

в хром реклама и в ie тоже, им не пользуюсь

[Anastasiya]

[Sandor]

На работоспособность системы он никак не повлияет, поэтому оставьте.

Повторите логи по Правилам подраздела

[Anastasiya]

CollectionLog-2016.12.02-14.12.zip

[Sandor]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

Сообщите что с рекламой.

[Anastasiya]

реклама не исчезла

[Sandor]

В IE тоже?

Отключите Адблок и проверьте. Сообщите: к сети подключаетесь через роутер? Если да, один компьютер?

[Anastasiya]

ноутбук работает от wi-fi на прямую роутер не подключен.

Попробовала переустановить хром-ничего не поменялось, Отключила блок, там еще было: какая-то программа внесла настройки хрома, хотите ли вернуть старые настройки? я нажала ДА, но реклама не исчезла...

На IE при открытии сразу реклама вылезает, но я им никогда не пользовалась, поэтому не знаю, что и как там должно отображаться и какой должна быть стартовая сираница. При использовании сайтов таже реклама что и на хроме.