Решена - backspace@riseup.net_256 зашифровал фото на ноуте.

Тема в разделе "Раздел по борьбе с вирусами", создана пользователем John333, 11 янв 2014.

  1. John333

    John333 Junior User

    Последнее редактирование: 11 янв 2014
  2. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    Доброго времени суток!

    1. В папке с программой UVS будет файл script.cmd
    Запустить файл, запустится окно программы для ввода скрипта,
    скопировать скрипт написанный ниже и вставить в окно программы.
    ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    
    zoo %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\ROAMING\UWIBVU\PEXO.EXE
    bl CB32A3FD3000EAAE34D99FAE6786CAAC 1273984
    delall %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\ROAMING\UWIBVU\PEXO.EXE
    zoo %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PIC.BMP
    delall %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PIC.BMP
    zoo %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\LOCAL\TEMP\RADBBC07.TMP.EXE
    bl 4302C151932117B12EBC12FD5FA41908 143360
    delall %SystemDrive%\USERS\ШАПКИН МИХАИЛ\APPDATA\LOCAL\TEMP\RADBBC07.TMP.EXE
    delref HTTP://IE.REDIRECT.HP.COM/SVS/RDR?TYPE=3&TP=IEHOME&LOCALE=RU_RU&C=94&BD=PAVILION&PF=CNNB
    regt 3
    regt 12
    regt 18
    deltmp
    delnfr
    restart
    И жмем кнопку Выполнить.
    На запросы программы по удалению жмите ДА
    ПК перезагрузится.

    В папке с программой UVS будет папка zoo, ее поместить в архив,
    установить пароль virus и прислать сюда sendvirus2011@gmail.com

    2. Cделайте лог MBAM (подробнее) и
    дайте ссылку на файл лога.*выполнять обязательно!
    Если лог не открылся, нажмите "Показать Результаты", сохраните отчет и дайте на него ссылку.

    Если форум оказался полезен вам и вашему компьютеру, пожалуйста, поддержите его работу -
     
  3. John333

    John333 Junior User

    Папку zoo отправил.

    Malwarebytes Anti-Malware (Пробная версия) 1.75.0.1300
    www.malwarebytes.org

    Версия базы данных: v2013.04.04.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Шапкин Михаил :: ШАПКИНМИХАИЛ-ПК [администратор]

    Защитный модуль : Включен

    12.01.2014 0:19:39
    MBAM-log-2014-01-12 (01-18-27).txt

    Тип сканирования: Полное сканирование (C:\|D:\|)
    Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
    Опции сканирования отключены: P2P
    Просканированные объекты: 420920
    Времени прошло: 57 минут , 45 секунд

    Обнаруженные процессы в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные модули в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные ключи в реестре: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные параметры в реестре: 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{CD3E32E0-C2BF-9025-8009-C9DD98B2D383} (Trojan.ZbotR.Gen) -> Параметры: "C:\Users\Шапкин Михаил\AppData\Roaming\Uwibvu\pexo.exe" -> Действие не было предпринято.

    Объекты реестра обнаружены: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные папки: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные файлы: 3
    C:\M006MM\WinRAR_3.92_Final_Rus\WinRAR 3.92 Rus x32\keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    C:\M006MM\WinRAR_3.92_Final_Rus\WinRAR 3.92 Rus x64\keygen\Keygen.exe (Trojan.Agent.CK) -> Действие не было предпринято.
    C:\Users\Шапкин (Trojan.ZbotR.Gen) -> Действие не было предпринято.

    (конец)
     
  4. John333

    John333 Junior User

    А для расшифровки фотографий теперь писать хакерам?
     
    Последнее редактирование: 12 янв 2014
  5. John333

    John333 Junior User

    Malwarebytes Anti-Malware (Пробная версия) 1.75.0.1300
    www.malwarebytes.org

    Версия базы данных: v2013.04.04.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Шапкин Михаил :: ШАПКИНМИХАИЛ-ПК [администратор]

    Защитный модуль : Включен

    12.01.2014 11:04:45
    mbam-log-2014-01-12 (11-04-45).txt

    Тип сканирования: Полное сканирование (C:\|D:\|)
    Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
    Опции сканирования отключены: P2P
    Просканированные объекты: 421198
    Времени прошло: 56 минут , 11 секунд

    Обнаруженные процессы в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные модули в памяти: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные ключи в реестре: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные параметры в реестре: 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{CD3E32E0-C2BF-9025-8009-C9DD98B2D383} (Trojan.ZbotR.Gen) -> Параметры: "C:\Users\Шапкин Михаил\AppData\Roaming\Uwibvu\pexo.exe" -> Помещено в карантин и успешно удалено.

    Объекты реестра обнаружены: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные папки: 0
    (Вредоносных программ не обнаружено)

    Обнаруженные файлы: 3
    C:\M006MM\WinRAR_3.92_Final_Rus\WinRAR 3.92 Rus x32\keygen\Keygen.exe (Trojan.Agent.CK) -> Помещено в карантин и успешно удалено.
    C:\M006MM\WinRAR_3.92_Final_Rus\WinRAR 3.92 Rus x64\keygen\Keygen.exe (Trojan.Agent.CK) -> Помещено в карантин и успешно удалено.
    C:\Users\Шапкин (Trojan.ZbotR.Gen) -> Помещено в карантин и успешно удалено.

    (конец)
     
  6. John333

    John333 Junior User

    Написал. Ответили, что нужно отправить им 0,4 биткойна, что соответствует ~350$. Совсем обнаглели.
     
  7. zloyDi

    zloyDi <font color="blue">Вирусоборец</font>

    К сожалению, без оригинального дешифратора не обойтись.

    Чтобы в будущем уменьшить риск заражения, выполните еще вот это
    http://forum.esetnod32.ru/forum9/topic3998/
     

Поделиться этой страницей