зашифровано с расширением id-*_support@recovery.cab , возможно, Filecoder.DG

RSS

Сообщений: 4

Баллов: 2

Регистрация: 18.03.2015

Размещено 18.03.2015 18:47:21

На ноутбук попал вирус шифровщик, переименовывает документы, фото и архивы.
К имени файла добавляет id-3927282397_support@recovery.cab

Увидел что Яндекс.Диск начал внезапно синхронизироваться, сначала значения не придал.
Потом комп начал тормозить, и на рабочем столе у ярлыков какие то непонятные названия появились.
Решил перезагрузиться.

Перезагрузился, но названия так и остались с приставкой support@recovery.cab
Завёл сканирование антивирусом.
Ещё windows спрашивал чем открыть файл EA.tmp, я так понял он попал в автозапуск - это видимо и был вирус.

Пример зашифрованного файла во вложении.
...Ан нет, пишет ошибка при сохранении.

Тогда вот ссылка на файл на Я.Диске - https://yadi.sk/d/hucidMS8fLpro

Спасибо!

Ответы

Пред. 1 2 3 4 След.

Сообщений: 17080

Баллов: 13664

Регистрация: 16.03.2010

Размещено 23.04.2015 10:49:51

1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 23.05.2015

Размещено 23.05.2015 17:34:21

помагите не знаю что делать все фотографии не могу открыть формат cab я думаю шифровщик поработал или я ошибаюсь ?

Сообщений: 17080

Баллов: 13664

Регистрация: 16.03.2010

Размещено 23.05.2015 17:46:48

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 23.05.2015

Размещено 23.05.2015 19:08:25

сохранился образ автозапуска не могу найти его

Сообщений: 5315

Баллов: 4252

Регистрация: 25.05.2010

Размещено 23.05.2015 19:14:54

Посмотрите в каталоге с uVS
Имя компьютера - дата время.
Например: MICROSOF-8AE2C5_2012-03-05_18-14-47.7z

Сообщений: 7

Баллов: 3

Регистрация: 23.05.2015

Размещено 25.05.2015 14:52:12

добави

Прикрепленные файлы

uvs_v385.zip (2.74 МБ)

Сообщений: 5315

Баллов: 4252

Регистрация: 25.05.2010

Размещено 25.05.2015 21:42:20

толик андреев

Вы прикрепили саму программу uVS, а нужен образ автозапуска.
------
Повторно прочтите инструкцию: http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 7

Баллов: 3

Регистрация: 23.05.2015

Размещено 27.05.2015 14:29:08

вроде получилось

Прикрепленные файлы

ТОЛЯН-ПК_2015-05-27_19-19-30.7z (433.72 КБ)

Сообщений: 5315

Баллов: 4252

Регистрация: 25.05.2010

Размещено 27.05.2015 17:44:29

Да.
Сейчас всё выполнено верно.
----------
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\ТОЛЯН\APPDATA\LOCAL\AMIGO\APPLICATION delref HTTP://WWW.YANDEX.RU/?CLID=1993841 bl EEFC4634055F096FCA9D40FEC5166434 5193040 delref \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSICSERVICE.EXE del \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSICSERVICE.EXE delref HTTP://WWW.YANDEX.RU/?WIN=138&CLID=1949804 bl 7701918E29359D58E39BF0F0AEBFEDDE 688424 delref \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE del \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE bl AD497891CCBCDB22C79441B81DB59176 3785448 delref \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE del \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE bl 4849211A077C3ED23BD1E2F42DD312B1 4298584 delref \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSIC.EXE del \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSIC.EXE delref HTTP://R.MAIL.RU/N137257923 delref HTTP://R.MAIL.RU/N137257727 delref HTTP://R.MAIL.RU/N137259054 delref HTTP://R.MAIL.RU/N137259047 ;------------------------------------------------------------- exec "C:\Program Files\LoviMusic\unins000.exe" exec "C:\Users\Толян\AppData\Local\Amigo\Application\32.0.1723.105\Installer\setup.exe" --uninstall exec MsiExec.exe /X{42C06229-B704-4375-BF63-3E22FEAC736C} regt 27 regt 28 regt 29 deltmp delnfr restart

Код

     

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ТОЛЯН\APPDATA\LOCAL\AMIGO\APPLICATION

delref HTTP://WWW.YANDEX.RU/?CLID=1993841

bl EEFC4634055F096FCA9D40FEC5166434 5193040
delref \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSICSERVICE.EXE
del \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSICSERVICE.EXE

delref HTTP://WWW.YANDEX.RU/?WIN=138&CLID=1949804
bl 7701918E29359D58E39BF0F0AEBFEDDE 688424
delref \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
del \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE

bl AD497891CCBCDB22C79441B81DB59176 3785448
delref \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
del \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE

bl 4849211A077C3ED23BD1E2F42DD312B1 4298584
delref \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSIC.EXE
del \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSIC.EXE

delref HTTP://R.MAIL.RU/N137257923
delref HTTP://R.MAIL.RU/N137257727
delref HTTP://R.MAIL.RU/N137259054
delref HTTP://R.MAIL.RU/N137259047
;-------------------------------------------------------------

exec "C:\Program Files\LoviMusic\unins000.exe"
exec "C:\Users\Толян\AppData\Local\Amigo\Application\32.0.1723.105\Installer\setup.exe" --uninstall
exec MsiExec.exe /X{42C06229-B704-4375-BF63-3E22FEAC736C}
regt 27
regt 28
regt 29
deltmp
delnfr
restart

-------------
Далее выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 7

Баллов: 3

Регистрация: 23.05.2015

Размещено 28.05.2015 09:48:24

Скопировать текст КОДА - в буфер обмена.
как это сделать

Пред. 1 2 3 4 След.