@emericawino

Добрый день.Проблема в следующем.Поймал вирус,не понятным для себя образом,на посторонние сайты не заходил,юзал только проверенные и постоянно посещаемые ранее.Вирус заблокировал все текстовые файлы,к расширению добавилось .arest.Появился документ под названием WARNING содержащий следующее сообщение:

Ваш идентификационный номер: 469
Ваш IP адрес: 95.153.177.97

Протокол 1637/04 системы контроля НРНП МВД РФ

Автоматизированная система по надзору за распространением нелегального программного обеспечения Министерства Внутренних Дел Российской Федерации

Ваш компьютер заблокирован!


На вашем компьютере было зафиксировано наличие нелегального программного обеспечения, а так же нарушение авторских прав по ряду материалов:

Загрузка и сохранение аудио материалов, а так же нелегального програмного обеспечения нарушающих авторские права их владельцев.


На Вас наложены штрафные санкции по статье 146 УК РФ «Нарушение авторских и смежных прав».

Вынесено постановление об уплате штрафа в размере 2000р. 00к. (две тысячи рублей ноль копеек), который должен быть погашен в 3х дневный срок.


По окончании проверки ваших данных вы получите письмо с уведомлением о приостановке раследования по вашему делу.

В письме будет указан код разблокировки.


Для оплаты штрафа следуйте инструкциям ниже:


Пункт 1: Свяжитесь с отделом погашения задолжнностей по email адресу MVDRFSYSTEM@SMTP.RU. Для регистрации и разблокировки вашей системы в письме необходимо указать: Идентификационый номер и IP адрес.


Пункт 2: На Ваш email поступит платежное поручение или квитанция для оплаты штрафа в размере 2000 руб. 00 коп.


Пункт 3: Для скорейшего снятия ограничений с вашего компьютера вышлите копию оплаченной квитанции на вышеуказанный email адрес. В ответном письме вы получите код разблокировки, который необходимо вести в поле ниже и нажать кнопку «Разблокировать»


ПРЕДУПРЕЖДЕНИЕ! Попытка самостоятельного снятия ограничений системы и(или) файлов неизбежно приведет к полной потере данных и привлечению Вас к уголовной ответственности за нарушения преду

Проверял комп авастом,авз,аваст нашел пару троянов,отправил их в карантин,но проблема осталась.
Так же комп перестал выключаться и перезагружаться через меню пуск,перестал открываться диспетчер задач,откат и восстановление системы в безопасном режиме так же перестали работать.
Можно что-либо сделать с этим всем?Или тут только переустановка винды поможет?
Читал о наплыве трояна,который как раз шифрует файлы,как в моем случае,пока расшифровщика вроде нет,надеюсь скоро появится и можно будет разблокировать важные текстовые документы,но это пол беды,и меня это не очень волнует.Можно справиться с остальными проблемами,перечисленными мною выше?

1

magirus

Как восстановить зашифрованные файлы

1

@thyrex

Пока для этого шифровальщика дешифратора нет

0

@emericawino

А как можно исправить это: комп перестал выключаться и перезагружаться через меню пуск,перестал открываться диспетчер задач,откат и восстановление системы в безопасном режиме так же перестали работать?

0

S.R

Выполните это - Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

1

@emericawino

Во время сканирования Dr.Web в безопасном режиме было найдено 6 троянов,после их удаления комп стал снова перезагружаться и выключаться через меню Пуск,диспетчер задач нормально открывается,но система стала запускаться почему-то немного дольше,чем до того,как в нее проникли вирусы,насчет отката и восстановления системы сказать не могу изменилось ли что,т.к. не проверял.Вот логи.

0

Вложения

	log.rar (4.2 Кб, 13 просмотров)
	virusinfo_syscheck.zip (40.6 Кб, 7 просмотров)
	virusinfo_syscure.zip (41.4 Кб, 6 просмотров)

@Katharsis

info.txt выложите

1

@emericawino

Он в архиве log

0

@Katharsis

там hjt и log

Добавлено через 6 минут
log.txt тоже пустой, переделайте

1

@emericawino

Пардон

0

Вложения

rsit.rar (16.1 Кб, 25 просмотров)

@Katharsis

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
_______________________________________________________

1. обновите:
adobe reader , Sun Java, Adobe Flash Player, QuickTime, браузеры (по мере выхода обновлений) и их надстройки.

2. В логе сканирования Hijackthis отметьте:
нажмите "Fix checked"

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт (без номеров строк) - Нажать кнопку Запустить.
На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4. сделайте повторные логи AVZ и RSIT

5. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

1

@emericawino

Свежие логи.

0

Вложения

	mbam-log-2012-08-12 (07-08-09).txt (3.8 Кб, 7 просмотров)
	rsit.rar (16.4 Кб, 5 просмотров)
	virusinfo_syscheck.zip (42.1 Кб, 3 просмотров)
	virusinfo_syscure.zip (42.3 Кб, 5 просмотров)

S.R

Удалите файл C:\Documents and Settings\Maxim\Application Data\igfxtray.dat.

Что с проблемой?

1

@emericawino

S.R после проделанных инструкций от Katharsis комп стал загружаться быстрее,диспетчер задач работает,комп выключается через меню Пуск.Файл igfxtray.dat удалил, изменений не произошло,файлы так же остались зашифрованы.Стоит ли ждать универсальный дешифратор?Или для каждого пользователя все таки нужен уникальный?

0

@Katharsis

Скачайте TDSSKiller, распакуйте в корень системного диска. Нажмите Пуск - выполнить. В поле открыть впишите команду: C:\tdsskiller.exe -qmbr -qboot Папку с карантином C:\TDSSKiller_Quarantine запакуйте с паролем virus и отправьте на адрес quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему и ника на форуме. Лог после сканирования (файл TDSSKiller.2.7.15.0_дата_время_log.txt) выложите сюда.

1

@emericawino

Лог TDSSKiller.

0

Вложения

TDSSKiller.2.7.48.0_12.08.2012_12.49.30_log.txt (6.3 Кб, 11 просмотров)

@Katharsis

смените все пароли

по поводу расшифровки - остается ждать, когда появится такая возможность

отправьте несколько шифрованных файлов сюда http://support.kaspersky.ru/viruses/utility
http://www.freedrweb.com/aid_admin/

подождите ответа. систему не переустанавливайте - это может лишить вас шанса на расшифровку

Рекомендации после удаления вредоносного ПО

1

@emericawino

Спасибо за помощь,добрые люди.

0

@thyrex

1. Найдите в папке Documents and Settings\проблемная_учетка\Application Data файл UpdateLogs.txt.arest
2. Вместе с несколькими заблокированными файлами разного типа (не очень большого размера) запакуйте в архив, выложите на файлообменник и пришлите ссылку мне в личные сообщения

1

@thyrex

Пробуйте мою утилиту

1