78 ответов в этой теме

[dvpower]

Всем добрый день.
поймал необычное окно. с ним справился, но после перезагрузки все файлы(картинки и текстовые) находятся под арестом: как это выглядит- "Заявка.xls.arest" или "подключки.txt.arest" + в папках, в которых файлы арестованы появился текстовый файл "warning" следующего содержания:


"Ваш идентификационный номер: 300
Ваш IP адрес: ***.***.***.***
Протокол 1637/04 системы контроля НРНП МВД РФ

Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации

Ваш компьютер заблокирован!


На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов:

Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.


На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав».

Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.


По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу.

В письме будет указан код разблокировки.


Для оплаты штрафа следуйте инструкциям ниже:


Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу MVDRFSYSTEM@SMTP.RU. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.


Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.


Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»


ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности за нарушения преду "

CUREIT ничего не нашел dr.web тоже ничего не находит(но и полностью не проверяет из-за того что вылазиет "синий экран" и комп перезагружается).


что делать?

Сообщение было изменено dvpower: 10 Август 2012 - 03:45

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и RkU. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Что не нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://vms.drweb.com/sendvirus/ несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
- собрать и выложить в своей теме логи утилит, указанных в Правилах этого раздела форума;

[dvpower]

лог ХЖ
 hijackthis.log   7,72К   6 Скачано раз
лог РКУ не крепится - Вам запрещена загрузка файлов этого типа

[mrbelyash]

в ахиве положите

[m3xx]

такой же поймал, как файлы дешифровать? вирус удалил блокиратор, не думал что дешифрует,

[PA3JlUBHOE]

Такая же опа. Как дешифровать?

[m3xx]

dvpower , если не удалил вирус он находится в documents and settings, заходишь спокойно в безопасный режим, через выполнить набираешь msconfig, потом выбираешь Автозагрузка и ищешь там все что у тебя оттуда запускается, по путям, у меня он был единственный путь точный не помню, найдешь если его скинь ребятам пусть дешифратор смиксят) заранее спс

[SergM]

Вирусы направлять сюда Категрия: Запрос на лечение
Номер тикета потом здесь опубликуйте

[mrbelyash]

А смысл энкодеру прописываться в автозапуск? Он свое отработал.
Думается мне это хыбный шлях.
Ищите в темпах экзешники....если они не потерлись

Сообщение было изменено mrbelyash: 10 Август 2012 - 18:52

[PA3JlUBHOE]

Отправил оригинальную картинку и зашифрованную.

[SergM]

Ищите вирус! Картинки обычно мало помогают. Если найдете вирус, то отправляйте в тот же тикет (ответом на письмо). Кстати, где номер тикета?

[PA3JlUBHOE]

drweb.com #3559972

[PA3JlUBHOE]

У меня на компе две винды. Сейчас работаю на чистой. Логи делать из завирусованой или можно из этой?

[SergM]

Из той где вирус.

[PA3JlUBHOE]

HJ не скачивается, выдаёт
<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="refresh" content="1;url=http://free.antivirus.com/us/">
<title></title>
</head>
<body>
<p>If you are not redirected soon, please click <a href="http://free.antivirus.com/us/">here</a>.</p>
</body>
</html>

[SergM]

Возмите

Прикрепленные файлы:

•  HijackThis.rar   294,05К   7 Скачано раз

[PA3JlUBHOE]

Нашел в C:\Documents and Settings\User\Local Settings\Temp файл yyey.exe от 09 августа 2012, 18кБ, хотел его скопировать, вышла ошибка файл не может быть что-то там. После этого он пропал(

Сообщение было изменено PA3JlUBHOE: 10 Август 2012 - 20:22

[PA3JlUBHOE]

А это у меня авира его в карантин услала. Это TR/Dldr.Karagany.P.5 Ещё. оказывается, Авира,у меня вторую неделю регулярно отсылает в карантин TR/Dldr.Vundo.hiy.417.

[SergM]

Отключайте антивирусы сторонние на время проверок другими средствами или копировании подозрительных файлов.

[PA3JlUBHOE]

Сейчас отправлю красавчиков вам на почту.