sater123 0 Опубликовано 20 октября, 2014 Share Опубликовано 20 октября, 2014 Письмо с Арбитражного суда как обычно... Сотрудница перешла по ссылке и вот теперь почти все офисные файлы зашифрованы. Прошу помощи. !!!ФАЙЛЫ ЗАШИФРОВАНЫ!!!Фантомас разбушевался и зашифровал все Ваши важные файлы, да да, даже офисные!Но не отчаивайтесь, он готов Вам их вернуть, если Вы напишете на его фанто-почту и предложите некоторую сумму денег. Не забудьте указать фанто-идентификатор, написанный в конце названия каждого файла. Фантомас любит заметать следы, поэтому если Вы не отпишете ему в течение 48 часов, он удалит Ваш ключ расшифровки и расшифровка файлов будет невозможна!Основная почта:fantomass1998@gmail.comЗапасная почта (если в течение суток нет ответа с основной почты, пишите сюда):masfantomas@onionmail.inP.S. Достаточно отправить одно сообщение на почту, не стоит писать 100500 писем типа "ты где аууу?". Мы тоже люди и нам нужно спать, питаться и т.д. Большое кол-во писем от Вас только затруднит получение помощи.P.P.S. Почта masfantomas@aol.com была заблокирована, если Вам предлагается отписать на это почту, то Вам так же следует отписать на fantomass1998@gmail.com, либо на masfantomas@onionmail.in. Забыл прикрепить лог virusinfo_syscheck.zip hijackthis.log CollectionLog-2014.10.20-11.27.zip 1 Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 октября, 2014 Share Опубликовано 20 октября, 2014 Здравствуйте! Деинсталлируйте: Weatherbar-->MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} Weatherbar-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} WebBars-->C:\Program Files (x86)\WebBars\uninstall.exe Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFileF('C:\Program Files (x86)\RarLab', '*.exe', true, ' ', 0, 0); QuarantineFileF('C:\ProgramData\TEMP', '*.exe', true, ' ', 0, 0); QuarantineFile('C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll',''); QuarantineFile('C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe',''); QuarantineFile('C:\Program Files\Windows Media Player\wpshare.vbe',''); QuarantineFile('C:\Program Files (x86)\WinRar\codec.exe',''); DeleteFile('C:\Program Files (x86)\WinRar\codec.exe','32'); DeleteFile('C:\Program Files\Windows Media Player\wpshare.vbe','32'); DeleteFile('C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe','32'); DeleteFile('C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','progrmma'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','wpshare'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gbjyje','command'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Gbjyje'); DeleteFileMask('C:\Users\tskorodko\Documents\Iterra', '*', true, ' '); DeleteFileMask('C:\ProgramData\TEMP', '*', true, ' '); DeleteFileMask('C:\Program Files (x86)\RarLab', '*', true, ' '); DeleteDirectory('C:\ProgramData\TEMP'); DeleteDirectory('C:\Program Files (x86)\RarLab'); DeleteDirectory('C:\Users\tskorodko\Documents\Iterra'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). O2 - BHO: Weatherbar - {17177FAA-3830-43D3-A70B-FDE532676B1E} - C:\Program Files (x86)\tooldev342\Weatherbar\TracersToolbarBHO_x86.dll O2 - BHO: TrueSuite WebStore - {5cb2b77d-c8ca-44db-af20-a7a4df462a12} - mscoree.dll (file missing) O2 - BHO: WebBars - {79E1CFFB-E2E0-436C-B82A-9902BBEA6391} - C:\Program Files (x86)\WebBars\Basement\Extension32.dll O4 - HKCU\..\Run: [Gbjyje] C:\Users\tskorodko\AppData\Roaming\Gbjyje.exe O4 - HKLM\..\Policies\Explorer\Run: [wpshare] C:\Program Files\Windows Media Player\wpshare.vbe O20 - AppInit_DLLs: C:\Users\tskorodko\Documents\Iterra\jgxyvil.dll Сделайте новые логи Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Подробнее читайте в руководстве Ссылка на сообщение Поделиться на другие сайты
sater123 0 Опубликовано 20 октября, 2014 Автор Share Опубликовано 20 октября, 2014 Прикрепляю лог. Запрос с карантином в Касперский отправил. Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.codec.exe - Trojan-Ransom.Win32.Cryakl.boДетектирование файла будет добавлено в следующее обновление.oops.exeПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского MBAM-log-2014-10-20 (13-54-30).txt Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 20 октября, 2014 Share Опубликовано 20 октября, 2014 Где новые логи? WebBars почему не деинсталлировали? Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете). Обнаруженные процессы в памяти: 1 C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe (PUP.Optional.SweetPacks.A) -> 1620 -> Действие не было предпринято. Обнаруженные ключи в реестре: 1 HKLM\SYSTEM\CurrentControlSet\Services\Update Service for WebBars (PUP.Optional.SweetPacks.A) -> Действие не было предпринято. Обнаруженные файлы: 39 C:\Program Files (x86)\WebBars\Basement\ExtensionUpdaterService.exe (PUP.Optional.SweetPacks.A) -> Действие не было предпринято. C:\ProgramData\Symantec\SRTSP\Quarantine\APQE02E.tmp (Trojan.Chydo) -> Действие не было предпринято. C:\Users\Public\Favorites\Favorites.bat (Trojan.Chydo) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\360C.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\482.exe (Trojan.Ransom) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\71.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\9F80.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\AD9A.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\B501.exe (Trojan.Ransom) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\BCFB.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\BD76.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\BE62.exe (Trojan.Agent) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\D135.exe (Trojan.Ransom) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\D44E.exe (Trojan.Ransom) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\E2F7.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\EC95.exe (Trojan.Ransom) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\F56C.exe (Trojan.Ransom) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\FC63.exe (Trojan.Agent) -> Действие не было предпринято. C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\update[1] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято. C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5\update[2] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято. C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA\update[1] (PUP.Optional.SweetPacks.A) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\1579.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\2534.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\3745.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\3940.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\4552.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\5663.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\6049.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\7219.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\7661.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\7851.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\8351.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\9249.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\9472.exe (Trojan.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\1E97.exe (Backdoor.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\2D76.exe (Backdoor.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\3C85.exe (Backdoor.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\B918.exe (Backdoor.Agent.Gen) -> Действие не было предпринято. C:\Users\tskorodko\AppData\Roaming\FB78.exe (Backdoor.Agent.Gen) -> Действие не было предпринято. После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог. Ссылка на сообщение Поделиться на другие сайты
sater123 0 Опубликовано 20 октября, 2014 Автор Share Опубликовано 20 октября, 2014 Прикрепляю новые логи hijackthis.log KL_syscure.zip mbam-log-2014-10-20 (16-16-37).txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 20 октября, 2014 Share Опубликовано 20 октября, 2014 Прикрепляю новые логи Прикрепленные файлы hijackthis.log 14,3К Количество загрузок: 0 KL_syscure.zip 29,02К Количество загрузок: 0 это не ТЕ новые логи. прочтите правила ещё раз. Ссылка на сообщение Поделиться на другие сайты
sater123 0 Опубликовано 20 октября, 2014 Автор Share Опубликовано 20 октября, 2014 Прикрепляю новые логи Прикрепленные файлы hijackthis.log 14,3К Количество загрузок: 0 KL_syscure.zip 29,02К Количество загрузок: 0 это не ТЕ новые логи. прочтите правила ещё раз. Я извиняюсь, но я сделал как написали - в MBAM просканил, сделал "Remove Selected", затем повторно просканил как было написано и выложил логи. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 октября, 2014 Share Опубликовано 20 октября, 2014 Новые логи автосборщика не прислали Ссылка на сообщение Поделиться на другие сайты
sater123 0 Опубликовано 20 октября, 2014 Автор Share Опубликовано 20 октября, 2014 Извиняюсь, и правда не то сделал. Прикрепил. CollectionLog-2014.10.20-18.07.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 октября, 2014 Share Опубликовано 20 октября, 2014 Пофиксите в HiJack O2 - BHO: TrueSuite WebStore - {5cb2b77d-c8ca-44db-af20-a7a4df462a12} - mscoree.dll (file missing) Сделайте лог ComboFix Ссылка на сообщение Поделиться на другие сайты
sater123 0 Опубликовано 21 октября, 2014 Автор Share Опубликовано 21 октября, 2014 Прикрепляю лог Комбофикса. В Хайджеке сделал фикс после, надеюсь это не страшно. ComboFix.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 21 октября, 2014 Share Опубликовано 21 октября, 2014 Для устранения уязвимостей выполните в AVZ скрипт из файла ScanVuln.txtОткройте файл avz_log.txt из подпапки LOG (AVZ4\LOG\avz_log.txt) или из корня диска С (С:\avz_log.txt).Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.Важно: обратите внимание, при установке сервис-паков и обновлении ОС может потребоваться повторная активация Windows.Перезагрузите компьютер.Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены. После этого приложите новые логи MBAM и Combofix Ссылка на сообщение Поделиться на другие сайты
sater123 0 Опубликовано 21 октября, 2014 Автор Share Опубликовано 21 октября, 2014 А как быть с зашифрованными файлами? Можно ли как-нибудь их расшифровать? Есть оригиналы и зашифрованные. Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 21 октября, 2014 Share Опубликовано 21 октября, 2014 А как быть с зашифрованными файлами? с этим позднее.выполняйте рекомендации, данные выше. Ссылка на сообщение Поделиться на другие сайты
sater123 0 Опубликовано 21 октября, 2014 Автор Share Опубликовано 21 октября, 2014 Всё установил вроде, кроме единственного апдейта MS Office. Прикрепляю логи. ComboFix.txt mbam-log-2014-10-21 (12-59-58).txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти