Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Вирус-шифровальщик decrypt@india.com (http://forum.oszone.net/showthread.php?t=287316)

Zaphod 01-09-2014 10:05 2396874
Вирус-шифровальщик decrypt@india.com
 
Вложений: 1
Добрый день, поймали в конце прошлой недели эту заразу. Прошу помочь в ее удалении (о том, что восстановить файлы практически невозможно уже знаем).
Архив логов прилагаю: Файл 116585
Заранее спасибо!

Sandor 01-09-2014 10:39 2396889
Здравствуйте!

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
  then
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\ZATFTRD6\5[1].exe','');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\ZATFTRD6\5[1].exe', '32');
 DelBHO('{8f91c4de-7808-49bc-84e5-d63689a1b9c7}');
 DelBHO('{5cf5a690-c8f4-488e-9d20-f21aef602d41}');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится.

2. После перезагрузки, выполните такой скрипт:
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

3.
  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Zaphod 01-09-2014 11:03 2396896
Вложений: 1
Архив quarantine.zip отправил с помощью формы.
Отчет о сканировании AdwCleaner прилагаю Файл 116588

Sandor 01-09-2014 11:12 2396899
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Удалите в AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже удалите.

Повторите CollectionLog.

Zaphod 01-09-2014 11:38 2396914
Вложений: 1
Сделал. Вот файл отчета: Файл 116589

Sandor 01-09-2014 12:26 2396942
Цитата:
Цитата Sandor
Повторите CollectionLog. »
Еще это жду.
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Zaphod 01-09-2014 12:33 2396945
Вложений: 1
Извините, не заметил ранее. Вот архив логов: Файл 116590

Sandor 01-09-2014 12:44 2396952
Почему-то в повторный архив не попали логи RSIT. По логу AVZ - чисто.

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24.
Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

Zaphod 01-09-2014 12:53 2396960
Вот содержимое отчета:

Security Check by glax24 version 0.2.5.61 rc2
WebSite: www.safezone.cc
DateLog: 01.09.2014 12:50:02
Run directory: C:\Documents and Settings\Администратор\Local Settings\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 8.1
__________________________________________________

Windows XP(5.1.2600) Service Pack 3 (x86) Lang: Russian(0419)
Дата установки ОС: 18.03.2010 12:48:34
Системный диск: C:\ ФС: NTFS Емкость: [59.6 Гб] Занято: [22.6 Гб] Свободно: [37 Гб]
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
-------------Windows------------------------------
Internet Explorer 8.0.6001.18702
Автоматическое обновление отключено
Автоматическое обновление (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
-------------Antivirus_WMI------------------------
AVG update module
Антивирус обновлен
-------------Firewall_WMI-------------------------
-------------AntiVirusFirewallInstall-------------
AVG 2013 v.2013.0.3485
-------------OtherUtilities-----------------------
CCleaner v.2.27
TeamViewer 9 v.9.0.26297
-------------AdobeProduction----------------------
Adobe Flash Player 14 ActiveX v.14.0.0.145 Внимание! Скачать обновления
Adobe Flash Player 14 Plugin v.14.0.0.145 Внимание! Скачать обновления
Adobe Reader X (10.1.10) - Russian v.10.1.10 Внимание! Скачать обновления
-------------Browser------------------------------
Mozilla Firefox 3.5.3
-------------RunningProcess-----------------------
C:\Program Files\Mozilla Firefox\firefox.exe v.31.0.0.5310
-------------EndLog-------------------------------

Zaphod 01-09-2014 13:09 2396969
Обновления скачал и установил

Sandor 01-09-2014 13:24 2396976
Удачи!


Время: 00:29.

Время: 00:29.
© OSzone.net 2001-