Кристи81 Опубликовано 2 октября, 2014 Опубликовано 2 октября, 2014 Здравствуйте, все ваши файлы повреждены, свяжитесь с нами для их восстановления. Для этого откройте ярлык 'Ваш консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл. Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты. TOR: https://www.torproject.org/ | Видео инструкция: url_1: http://y6kpyefykdvswxps.onion:4567/pay.html url_2: http://gi3ruskskqzff2rw.onion:4567/pay.html HashKey: e2e339d5d60e32b0200b0b4a10c4c74a ID: 5317 помогите кто нибудь? Сообщение от модератора Mark D. Pearlstone Перемещено из раздела "Задай вопрос Евгению Касперскому"
_Strannik_ Опубликовано 2 октября, 2014 Опубликовано 2 октября, 2014 Доброго времени суток. Выполните правила раздела помощи и прикрепите необходимый лог фаил http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]
Кристи81 Опубликовано 2 октября, 2014 Автор Опубликовано 2 октября, 2014 ой для меня наверное это тяжело(( доктором вебом прошла ничего не обноружил, сейчас каспер проверяет
Mark D. Pearlstone Опубликовано 2 октября, 2014 Опубликовано 2 октября, 2014 @Кристи81, без выполнения правил никакой помощи не будет, так что постарайтесь. 1
Кристи81 Опубликовано 2 октября, 2014 Автор Опубликовано 2 октября, 2014 всё зделала как вы сказали) как сюда кинуть логи и где находиться логи Сообщение от модератора Mark D. Pearlstone Темы объединены
Mark D. Pearlstone Опубликовано 2 октября, 2014 Опубликовано 2 октября, 2014 где находиться логи В папке AutoLogger, расположенной там же, куда Вы ранее распаковали архив сборщика логов, будет находиться zip-архив с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip как сюда кинуть логи Создайте новое сообщение, внизу будет "Прикрепить файлы", ниже кнопка "Нажмите, чтобы прикрепить файлы", нажимаете и выбираете лог.
Кристи81 Опубликовано 2 октября, 2014 Автор Опубликовано 2 октября, 2014 вот вроде сделала) надеюсь правильно сделала CollectionLog-2014.10.02-19.44.zip
thyrex Опубликовано 2 октября, 2014 Опубликовано 2 октября, 2014 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.bat','32'); DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.exe.bat','32'); DeleteFile('C:\Program Files (x86)\Opera\launcher.exe.bat','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Пересоздайте ярлыки C:\Users\All Users\Application Data\Application Data\главное меню\Программы\Opera.lnk C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Программы\Google Chrome\Google Chrome.lnk C:\Users\All Users\Application Data\Microsoft\Windows\Start Menu\Программы\Opera.lnk C:\Users\All Users\Application Data\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\Users\All Users\Application Data\Start Menu\Programs\Opera.lnk C:\Users\All Users\Application Data\Start Menu\Программы\Google Chrome\Google Chrome.lnk C:\Users\All Users\Application Data\Start Menu\Программы\Opera.lnk C:\Users\All Users\Application Data\главное меню\Programs\Google Chrome\Google Chrome.lnk C:\Users\All Users\Application Data\главное меню\Programs\Opera.lnk C:\Users\All Users\Application Data\главное меню\Программы\Google Chrome\Google Chrome.lnk C:\Users\All Users\Application Data\главное меню\Программы\Opera.lnk C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\Users\All Users\Microsoft\Windows\Start Menu\Программы\Google Chrome\Google Chrome.lnk C:\Users\All Users\Microsoft\Windows\Start Menu\Программы\Opera.lnk C:\Users\All Users\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\Users\All Users\Start Menu\Programs\Opera.lnk C:\Users\All Users\Start Menu\Программы\Google Chrome\Google Chrome.lnk C:\Users\All Users\Start Menu\Программы\Opera.lnk C:\Users\All Users\главное меню\Programs\Google Chrome\Google Chrome.lnk C:\Users\All Users\главное меню\Programs\Opera.lnk C:\Users\All Users\главное меню\Программы\Google Chrome\Google Chrome.lnk C:\Users\All Users\главное меню\Программы\Opera.lnk C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk C:\Users\Игорь\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\Игорь\AppData\Roaming\Microsoft\Windows\Start Menu\Программы\Internet Explorer.lnk C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk C:\Users\Игорь\Application Data\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk C:\Users\Игорь\Application Data\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk C:\Users\Игорь\Application Data\Microsoft\Windows\Start Menu\Программы\Internet Explorer.lnk C:\Users\Игорь\Desktop\проги\Google Chrome.lnk C:\Users\Игорь\Desktop\проги\Opera.lnk C:\Users\Игорь\главное меню\Programs\Internet Explorer.lnk C:\Users\Игорь\главное меню\Программы\Internet Explorer.lnk C:\ProgramData\Application Data\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\ProgramData\Application Data\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Application Data\Microsoft\Windows\Start Menu\Программы\Google Chrome\Google Chrome.lnk C:\ProgramData\Application Data\Microsoft\Windows\Start Menu\Программы\Opera.lnk C:\ProgramData\Application Data\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\ProgramData\Application Data\Start Menu\Programs\Opera.lnk C:\ProgramData\Application Data\Start Menu\Программы\Google Chrome\Google Chrome.lnk C:\ProgramData\Application Data\Start Menu\Программы\Opera.lnk C:\ProgramData\Application Data\главное меню\Programs\Google Chrome\Google Chrome.lnk C:\ProgramData\Application Data\главное меню\Programs\Opera.lnk C:\ProgramData\Application Data\главное меню\Программы\Google Chrome\Google Chrome.lnk C:\ProgramData\Application Data\главное меню\Программы\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Программы\Google Chrome\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Программы\Opera.lnk C:\ProgramData\Start Menu\Programs\Google Chrome\Google Chrome.lnk C:\ProgramData\Start Menu\Programs\Opera.lnk C:\ProgramData\Start Menu\Программы\Google Chrome\Google Chrome.lnk C:\ProgramData\Start Menu\Программы\Opera.lnk C:\ProgramData\главное меню\Programs\Google Chrome\Google Chrome.lnk C:\ProgramData\главное меню\Programs\Opera.lnk C:\ProgramData\главное меню\Программы\Google Chrome\Google Chrome.lnk C:\ProgramData\главное меню\Программы\Opera.lnk Сделайте новые логи Сделайте логи RSIT (программу найдете в папке Autologger)
Кристи81 Опубликовано 2 октября, 2014 Автор Опубликовано 2 октября, 2014 делаю снова Протокол антивирусной утилиты AVZ версии 4.43 Сканирование запущено в 02.10.2014 22:25:38 Загружена база: сигнатуры - 297605, нейропрофили - 2, микропрограммы лечения - 56, база от 01.10.2014 16:00 Загружены микропрограммы эвристики: 405 Загружены микропрограммы ИПУ: 9 Загружены цифровые подписи системных файлов: 687694 Режим эвристического анализатора: Средний уровень эвристики Режим лечения: выключено Версия Windows: 6.2.9200, "Windows 8 Single Language" ; AVZ работает с правами администратора Восстановление системы: включено 1. Поиск RootKit и программ, перехватывающих функции API 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .rdata Функция kernel32.dll:ReadConsoleInputExA (1103) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BBCF2->7670F05C Функция kernel32.dll:ReadConsoleInputExW (1104) перехвачена, метод ProcAddressHijack.GetProcAddress ->768BBD25->7670F080 Анализ ntdll.dll, таблица экспорта найдена в секции .text Функция ntdll.dll:NtCreateFile (268) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702E0B0->6F9E12A3 Функция ntdll.dll:NtSetInformationFile (547) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702DDD0->6F9C34CF Функция ntdll.dll:NtSetValueKey (577) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702E160->6F9D9925 Функция ntdll.dll:NtdllDefWindowProc_W (646) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702F7E6->6F9E190D Функция ntdll.dll:ZwCreateFile (1621) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702E0B0->6F9E12A3 Функция ntdll.dll:ZwSetInformationFile (1898) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702DDD0->6F9C34CF Функция ntdll.dll:ZwSetValueKey (1928) перехвачена, метод ProcAddressHijack.GetProcAddress ->7702E160->6F9D9925 Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:CallNextHookEx (1531) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8B633->6F9C3537 Функция user32.dll:CallWindowProcW (1533) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8BD1D->6F9E193D Функция user32.dll:ChangeDisplaySettingsA (1538) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BEEB3C->6FA0549A Функция user32.dll:ChangeDisplaySettingsExA (1539) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BEEB65->6FA05321 Функция user32.dll:ChangeDisplaySettingsExW (1540) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BD0070->6FA0525C Функция user32.dll:ChangeDisplaySettingsW (1541) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BD0047->6FA053E6 Функция user32.dll:DestroyWindow (1681) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8CF9E->6F9E0BE8 Функция user32.dll:EnumChildWindows (1745) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8C8A5->6F9C35BC Функция user32.dll:EnumDisplayDevicesA (1750) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B95233->6F9DF2A6 Функция user32.dll:EnumDisplayDevicesW (1751) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B93FFF->6FA04E33 Функция user32.dll:EnumDisplaySettingsA (1753) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BA56BE->6FA05210 Функция user32.dll:EnumDisplaySettingsExA (1754) перехвачена, метод ProcAddressHijack.GetProcAddress ->76BA56EA->6FA05172 Функция user32.dll:EnumDisplaySettingsExW (1755) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B93EF6->6FA05120 Функция user32.dll:EnumDisplaySettingsW (1756) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B93ED0->6FA051C1 Функция user32.dll:EnumThreadWindows (1761) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8C95A->6F9E0C1D Функция user32.dll:GetDC (1817) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8A0DC->6F9E0ABF Функция user32.dll:GetDCEx (1818) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8AD49->6F9DE030 Функция user32.dll:GetWindowDC (1954) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8A2DB->6F9E0DFC Функция user32.dll:GetWindowLongW (1959) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B88D07->6F9E18F5 Функция user32.dll:RedrawWindow (2152) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B88C02->6F9E0CD2 Функция user32.dll:ReleaseDC (2184) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8A0F0->6F9E0988 Функция user32.dll:SetWindowLongW (2287) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8CD13->6F9E1925 Функция user32.dll:SetWindowsHookExW (2298) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8C784->6FA1C5DF Функция user32.dll:WindowFromDC (2387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76B8BB1D->6F9E0CEA Детектирована модификация IAT: GetDC - 6F9E0ABF<>76B8A0DC Анализ advapi32.dll, таблица экспорта найдена в секции .text Анализ ws2_32.dll, таблица экспорта найдена в секции .text Анализ wininet.dll, таблица экспорта найдена в секции .text Анализ rasapi32.dll, таблица экспорта найдена в секции .text Анализ urlmon.dll, таблица экспорта найдена в секции .text Анализ netapi32.dll, таблица экспорта найдена в секции .text 1.2 Поиск перехватчиков API, работающих в KernelMode Ошибка - не найден файл (C:\SystemRoot\system32\ntoskrnl.exe) 1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM 1.5 Проверка обработчиков IRP Ошибка загрузки драйвера - проверка прервана [C000036B] 2. Проверка памяти Количество найденных процессов: 26 Количество загруженных модулей: 362 Проверка памяти завершена 3. Сканирование дисков 4. Проверка Winsock Layered Service Provider (SPI/LSP) Настройки LSP проверены. Ошибок не обнаружено 5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) 6. Поиск открытых портов TCP/UDP, используемых вредоносными программами Проверка отключена пользователем 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\SysWOW64\nvinit.dll" Проверка завершена 8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса Проверка завершена 9. Мастер поиска и устранения проблем >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME >> Таймаут завершения процессов находится за пределами допустимых значений >> Таймаут завершения служб находится за пределами допустимых значений >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей Проверка завершена Просканировано файлов: 126518, извлечено из архивов: 74434, найдено вредоносных программ 0, подозрений - 0 Сканирование завершено в 02.10.2014 22:41:03 Сканирование длилось 00:15:27 Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам, то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18 Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ можно использовать сервис http://virusdetector.ru/ как мне изменть формат музыки и фото? название фотки и музыки вот такое Scan14.jpg.AES256 AES256 вот это во всех файлах в конце написано
Roman_Five Опубликовано 2 октября, 2014 Опубликовано 2 октября, 2014 делаю снова не то.нужны логи в архиве. как мне изменть формат музыки и фото? вероятнее всего, никак без оплаты злоумышленникам.
Roman_Five Опубликовано 16 октября, 2014 Опубликовано 16 октября, 2014 Внимание! Данный дешифратор предназначен только для пользователя Кристи81Во избежание окончательной потери информации использовать данный дешифратор другим пострадавшим не рекомендуется Перед использованием дешифратора рекомендуется сделать резервную копию всех зашифрованных файлов. Дешифратор Принцип работы с дешифратором: 1. Сохраните дешифратор в отдельную созданную папку. 2. Сохраните прикрепленное вложение в папку с дешифратором. Распакуйте архив с ключом. Запустите сам дешифратор и дождитесь окончания процесса работы дешифратора. key.zip
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти