Перейти к содержанию

Рекомендуемые сообщения

Прошу помощи. Троян поймала жена, поэтому не могу точно указать после чего он запустился. Предположительно после открытия одного из сайтов с книгами Донцовой либо после открытия файла, скаченного с сайта с рефератами  :) все текстовые файлы и файлы изображений (может и еще какие, я не вникал) зашифровались в формат *.xtbl. К сожалению скачанный файл "реферат" мне так и не удалось найти, внятного ответа на вопрос о его местонахождении я не получил. Также везде появились файлы readme с текстом:

"Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
4AC46511AAC4E105031A|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."
 
При обращении на указанный e-mail просят заплатить 5000 р за дешифровку файлов.
 
Проверка KVRT проведена, 3 файла перемещены в карантин.
Очистка диска проведена.
Autologger запущен.
Пример зашифрованного файла, скрины и логи прилагаются.

CollectionLog-2015.03.25-00.26.zip

post-34106-0-21289900-1427229135_thumb.jpg

post-34106-0-60062300-1427229397_thumb.jpg

образец файла.rar

Ссылка на сообщение
Поделиться на другие сайты
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\{5612C844-55BC-4B77-82C2-A2E28962418E}\Setup.exe','');
 QuarantineFile('C:\PROGRA~3\Mozilla\dnpycbn.exe','');
 QuarantineFile('C:\Program Files (x86)\VYUGATEC\VYUGATEC VideoServer\vserver214r.exe','');
 QuarantineFile('C:\Program Files (x86)\EgisTec\MyWinLocker','');
 QuarantineFile('3\x86\mwlDaemon.exe','');
 QuarantineFile('C:\Windows\system32\drivers\490727C0.sys','');
 QuarantineFile('C:\Windows\system32\drivers\37803488.sys','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('c:\programdata\windows\csrss.exe','32');
 DeleteFile('C:\PROGRA~3\Mozilla\dnpycbn.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\mykrxdi','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.omlet.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"

 
Сделайте новые логи по правилам (только пункт 3).

+

логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

Не пойму, это и есть ответ, или нужно еще ждать:

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

csrss.exe - Trojan-Ransom.Win32.Shade.w

 

Детектирование файла будет добавлено в следующее обновление.

 

Setup.exe

 

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

 

vserver214r.exe

 

Вредоносный код в файле не обнаружен.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"

Изменено пользователем MaxBit
Ссылка на сообщение
Поделиться на другие сайты
Сделайте новые логи по правилам (только пункт 3).

+


логи FRST


 


http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696


Ссылка на сообщение
Поделиться на другие сайты

 

Сделайте новые логи по правилам (только пункт 3).

+

логи FRST

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

 

 

не понял. нужно создать новую тему? пункт 3: 

 

3. Создайте новую тему в разделе форума "Уничтожение вирусов"Для этого выполните следующие шаги:

  • нажмите на кнопку post-9410-0-57719500-1405698933_thumb.pn ;
  • в поле "Название темы" напишите кратко свою проблему;

    Примечание. В данном поле не используйте слова "SOS", "спасите", "помогите", "срочно", "караул" и т. п. Это не ускорит решения Вашей проблемы, а, наоборот, - будет расценено как нарушение пункта 18 Правил форума.

  • в поле "Описание темы" можно немного уточнить суть проблемы, а в поле для сообщений более подробно опишите возникшую проблему (можно указать, после чего именно возникли проблемы);
  • вложите в сообщение файл протоколов (логов) - CollectionLog-yyyy.mm.dd-hh.mm.zip
Ссылка на сообщение
Поделиться на другие сайты

Логи FRST делал еще когда создавал тему + новые сегодняшние логи

Addition.txt

FRST.txt

CollectionLog-2015.04.14-22.50.zip

FRST.txt

Изменено пользователем MaxBit
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

 

Сделайте новые логи по правилам (только пункт 3).

+

логи FRST

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

 

Добрый день.Когда будет и будет ли вообще ответ по решению моей проблемы? 

Не знаю важно ли это, но возможно я обнаружил файл - источник проблемы. Расширение этого файла .ytbl, в то время как у всех остальных зашифрованных файлов - .xtbl. К тому-же название файла не изменилось, в отличие от остальных после шифровки. В архиве прилагаются оба варианта.

образцы.rar

Ссылка на сообщение
Поделиться на другие сайты

Извините потеряли вашу тему.

 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
SearchScopes: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/poisk?q={searchTerms}
Toolbar: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} -  No File
Toolbar: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-02-05]
2015-03-23 15:56 - 2015-03-23 15:56 - 03148854 _____ () C:\Users\user\AppData\Roaming\D96C8EDED96C8EDE.bmp
2015-03-23 13:30 - 2015-03-25 09:27 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-23 13:30 - 2015-03-25 09:27 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-23 13:29 - 2015-03-23 13:29 - 00000000 ___HD () C:\Users\user\AppData\Roaming\C0DF05C3
2013-12-18 00:55 - 2013-12-18 00:55 - 0000006 _____ () C:\Users\user\AppData\Roaming\smw_inst
2013-12-23 15:59 - 2013-12-23 16:00 - 0000006 _____ () C:\Users\user\AppData\Roaming\vkm_inst
2013-06-05 09:44 - 2013-06-05 09:44 - 0004988 _____ () C:\ProgramData\yivouaat.sfe
C:\Users\user\AppData\Local\Temp\runprog.exe
Task: {93B931B0-3E38-4BF1-8C82-CA8B92FE543A} - \mykrxdi No Task File <==== ATTENTION
Folder: C:\FRST\Quarantine
AlternateDataStreams: C:\ProgramData\Temp:0B9176C0
AlternateDataStreams: C:\ProgramData\Temp:444C53BA
AlternateDataStreams: C:\ProgramData\Temp:4CF61E54
AlternateDataStreams: C:\ProgramData\Temp:4D066AD2
AlternateDataStreams: C:\ProgramData\Temp:5D7E5A8F
AlternateDataStreams: C:\ProgramData\Temp:93DE1838
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA
AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE
AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D
AlternateDataStreams: C:\ProgramData\Temp:E3C56885
AlternateDataStreams: C:\Users\Все пользователи\Temp:0B9176C0
AlternateDataStreams: C:\Users\Все пользователи\Temp:444C53BA
AlternateDataStreams: C:\Users\Все пользователи\Temp:4CF61E54
AlternateDataStreams: C:\Users\Все пользователи\Temp:4D066AD2
AlternateDataStreams: C:\Users\Все пользователи\Temp:5D7E5A8F
AlternateDataStreams: C:\Users\Все пользователи\Temp:93DE1838
AlternateDataStreams: C:\Users\Все пользователи\Temp:AB689DEA
AlternateDataStreams: C:\Users\Все пользователи\Temp:ABE89FFE
AlternateDataStreams: C:\Users\Все пользователи\Temp:E1F04E8D
AlternateDataStreams: C:\Users\Все пользователи\Temp:E3C56885
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
Ссылка на сообщение
Поделиться на другие сайты

 

Извините потеряли вашу тему.

 

 

  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

Готово.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...