зашифровано с расширением id-*_support@recovery.cab , возможно, Filecoder.DG

RSS
На ноутбук попал вирус шифровщик, переименовывает документы, фото и архивы.
К имени файла добавляет id-3927282397_support@recovery.cab

Увидел что Яндекс.Диск начал внезапно синхронизироваться, сначала значения не придал.
Потом комп начал тормозить, и на рабочем столе у ярлыков какие то непонятные названия появились.
Решил перезагрузиться.

Перезагрузился, но названия так и остались с приставкой support@recovery.cab
Завёл сканирование антивирусом.
Ещё windows спрашивал чем открыть файл EA.tmp, я так понял он попал в автозапуск - это видимо и был вирус.

Пример зашифрованного файла во вложении.
...Ан нет, пишет ошибка при сохранении.

Тогда вот ссылка на файл на Я.Диске - https://yadi.sk/d/hucidMS8fLpro

Спасибо!

Ответы

1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
помагите не знаю что делать все фотографии не могу открыть формат cab я думаю шифровщик поработал или я ошибаюсь ?
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
сохранился образ автозапуска не могу найти его
Посмотрите в каталоге с uVS
Имя компьютера - дата время.
Например: MICROSOF-8AE2C5_2012-03-05_18-14-47.7z
добави
толик андреев

Вы прикрепили саму программу uVS, а нужен образ автозапуска.
------
Повторно прочтите инструкцию: http://forum.esetnod32.ru/forum9/topic2687/
вроде получилось
Да.
Сейчас всё выполнено верно.
----------
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ТОЛЯН\APPDATA\LOCAL\AMIGO\APPLICATION

delref HTTP://WWW.YANDEX.RU/?CLID=1993841

bl EEFC4634055F096FCA9D40FEC5166434 5193040
delref \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSICSERVICE.EXE
del \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSICSERVICE.EXE

delref HTTP://WWW.YANDEX.RU/?WIN=138&CLID=1949804
bl 7701918E29359D58E39BF0F0AEBFEDDE 688424
delref \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
del \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE

bl AD497891CCBCDB22C79441B81DB59176 3785448
delref \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
del \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE

bl 4849211A077C3ED23BD1E2F42DD312B1 4298584
delref \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSIC.EXE
del \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSIC.EXE

delref HTTP://R.MAIL.RU/N137257923
delref HTTP://R.MAIL.RU/N137257727
delref HTTP://R.MAIL.RU/N137259054
delref HTTP://R.MAIL.RU/N137259047
;-------------------------------------------------------------

exec "C:\Program Files\LoviMusic\unins000.exe"
exec "C:\Users\Толян\AppData\Local\Amigo\Application\32.0.1723.105\Installer\setup.exe" --uninstall
exec MsiExec.exe /X{42C06229-B704-4375-BF63-3E22FEAC736C}
regt 27
regt 28
regt 29
deltmp
delnfr
restart





-------------
Далее  выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Скопировать текст КОДА - в буфер обмена.
как это сделать
Читают тему (гостей: 1)