4 ответов в этой теме

[MDN]

У меня на компьютере зашифровались почти все файлы и теперь они выглядят примерно так: "ZSRxw3ERPHR-I6LOHIkMbQ6kq0zI4Ar1woHfjQfRTQ5ZbPEjG6R93gN2o53nM25W.xtbl".

 

Надеюсь на Вашу помощь!

 

С помощью Malwarebyte's Anti-Malware были найдены и обезврежены опасные файлы.

Лог:

Malwarebytes Anti-Malware

www.malwarebytes.org

 

Scan Date: 07.03.2015

Scan Time: 19:07:33

Logfile: log2.txt

Administrator: Yes

 

Version: 2.00.4.1028

Malware Database: v2015.03.07.03

Rootkit Database: v2015.02.25.01

License: Trial

Malware Protection: Enabled

Malicious Website Protection: Enabled

Self-protection: Disabled

 

OS: Windows 7 Service Pack 1

CPU: x86

File System: NTFS

User: Anton

 

Scan Type: Threat Scan

Result: Completed

Objects Scanned: 301085

Time Elapsed: 9 min, 59 sec

 

Memory: Enabled

Startup: Enabled

Filesystem: Enabled

Archives: Enabled

Rootkits: Disabled

Heuristics: Enabled

PUP: Enabled

PUM: Enabled

 

Processes: 1

Trojan.MSIL.ED, C:\ProgramData\Windows\csrss.exe, 3536, Delete-on-Reboot, [dcd3053d90fa0b2b19cea57849b9a15f]

 

Modules: 0

(No malicious items detected)

 

Registry Keys: 4

Trojan.Proxy, HKLM\SOFTWARE\CLASSES\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}, Quarantined, [882742004e3c8caae075b95c13f04bb5], 

Trojan.Proxy, HKLM\SOFTWARE\CLASSES\Kkhl_2014.DynamicNS, Quarantined, [882742004e3c8caae075b95c13f04bb5], 

PUP.Optional.SpeedChecker.A, HKLM\SOFTWARE\Speedchecker Limited, Quarantined, [a609fd45573356e0b8d901b1966d50b0], 

Backdoor.Bifrose, HKLM\SOFTWARE\System32, Quarantined, [6b446bd70e7c43f35bbcd9ad62a20af6], 

 

Registry Values: 1

Trojan.MSIL.ED, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Client Server Runtime Subsystem, "C:\ProgramData\Windows\csrss.exe", Quarantined, [dcd3053d90fa0b2b19cea57849b9a15f]

 

Registry Data: 0

(No malicious items detected)

 

Folders: 2

PUP.Optional.BlockAndSurf.A, C:\Program Files\ver1BlockAndSurf, Quarantined, [129d350db6d469cda1ead4b2a1621ce4], 

PUP.Optional.BlockAndSurf.A, C:\Program Files\ver1BlockAndSurf\x86, Quarantined, [129d350db6d469cda1ead4b2a1621ce4], 

 

Files: 9

Trojan.MSIL.ED, C:\ProgramData\Windows\csrss.exe, Delete-on-Reboot, [dcd3053d90fa0b2b19cea57849b9a15f], 

PUP.Hacktool.Patcher, C:\$Recycle.Bin\S-1-5-21-2834902281-255136700-410660451-1000\$RKMN9YL.exe, Quarantined, [c4ebdd6532588aac5db65ea8e71926da], 

Trojan.MSIL.ED, C:\Users\Anton\AppData\Local\Temp\6D9E.tmp, Quarantined, [feb11929f09aaf8724c59a83aa58649c], 

Trojan.MSIL.ED, C:\Users\Anton\AppData\Local\Temp\7168.tmp, Quarantined, [2c83053d424854e2b037f528dd25ec14], 

PUP.Optional.Vitruvian.A, C:\Users\Anton\AppData\Local\Temp\vitruvian-installer-install-v0003, Quarantined, [04abef534842989e15c21e13a0655aa6], 

PUP.Optional.Vitruvian.A, C:\Users\Anton\AppData\Local\Temp\vitruvian-installer-processes-v0002, Quarantined, [7c3363df4c3e91a51bbc89a8bc4914ec], 

PUP.Optional.Vitruvian.A, C:\Users\Anton\AppData\Local\Temp\vitruvian-installer-scheduledtasks-v0001, Quarantined, [05aa54eecdbd75c103d4ee43030234cc], 

PUP.Optional.Vitruvian.A, C:\Users\Anton\AppData\Local\Temp\vitruvian-installer-softwareregkeys-v0002, Quarantined, [b1fefc468ffbc96dc314c36ed332c33d], 

PUP.Optional.BlockAndSurf.A, C:\Program Files\ver1BlockAndSurf\x86\WdfCoInstaller01009.dll, Quarantined, [129d350db6d469cda1ead4b2a1621ce4], 

 

Physical Sectors: 0

(No malicious items detected)

 

 

(end)

 

 

Так же была проведена проверка с помошью DrWeb CureIt!. Но ничего не обнаружено

 

 

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[mrbelyash]

сообщение 2, п.3

[v.martyanov]

Ничего не выйдет

[pig]

http://forum.drweb.com/index.php?showtopic=319872