imartin Опубликовано 5 февраля, 2015 Опубликовано 5 февраля, 2015 Здравствуйте! Прошу помощи. Одна надежда на вас Зашифровались все важные для меня файлы На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков. Захожу в этот README и пишет Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 8282FF781603B8527310|0 на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 8282FF781603B8527310|0 to e-mail address deshifrator01@gmail.com or deshifrovka@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. Очень надеюсь на вашу помощь. Заранее спасибо! CollectionLog-2015.02.05-22.09.zip
thyrex Опубликовано 5 февраля, 2015 Опубликовано 5 февраля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Misha\appdata\roaming\x11\a\engine.exe',''); QuarantineFile('C:\Users\Misha\appdata\local\systemdir\setsearchm.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\SystemDir\nethost.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\NETCBC~2.EXE',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\NETCBC~1.EXE',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\FF84.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\F2C6.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\B1A2.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\72A9.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\5311.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\510D.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\3E0A.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\32B7.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\31E8.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\25A8.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFile('C:\Program Files (x86)\Twilight Tech\Pretty Search\dummyDlg.exe',''); SetServiceStart('{5c281c6e-0132-4ac6-ad9d-d1d95d218412}Gw64', 4); DeleteService('{5c281c6e-0132-4ac6-ad9d-d1d95d218412}Gw64'); SetServiceStart('{4622aef0-e33e-4e1f-9b62-ca3f18b46b25}Gw64', 4); DeleteService('{4622aef0-e33e-4e1f-9b62-ca3f18b46b25}Gw64'); SetServiceStart('WindowsMangerProtect', 4); DeleteService('WindowsMangerProtect'); QuarantineFile('C:\Windows\system32\drivers\{921265c3-88e5-40e1-8d74-df5314572900}Gw64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{5c281c6e-0132-4ac6-ad9d-d1d95d218412}Gw64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{4622aef0-e33e-4e1f-9b62-ca3f18b46b25}Gw64.sys',''); TerminateProcessByName('c:\users\misha\appdata\roaming\ssleas.exe'); QuarantineFile('c:\users\misha\appdata\roaming\ssleas.exe',''); TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe'); QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe',''); TerminateProcessByName('c:\users\misha\appdata\roaming\cppredistx86.exe'); QuarantineFile('c:\users\misha\appdata\roaming\cppredistx86.exe',''); DeleteFile('c:\users\misha\appdata\roaming\cppredistx86.exe','32'); DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32'); DeleteFile('c:\users\misha\appdata\roaming\ssleas.exe','32'); DeleteFile('C:\Windows\system32\drivers\{4622aef0-e33e-4e1f-9b62-ca3f18b46b25}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{5c281c6e-0132-4ac6-ad9d-d1d95d218412}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{921265c3-88e5-40e1-8d74-df5314572900}Gw64.sys','32'); DeleteFile('C:\Program Files (x86)\Twilight Tech\Pretty Search\dummyDlg.exe','32'); DeleteFile('C:\Users\Misha\AppData\Local\Kometa\Application\kometa.exe','32'); DeleteFile('C:\Users\Misha\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32'); DeleteFile('C:\Users\Misha\AppData\Local\Kometa\kometaup.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaLaunchPanel'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\25A8.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\31E8.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\32B7.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\3E0A.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\510D.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\5311.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\72A9.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\B1A2.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\F2C6.tmp','32'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\FF84.tmp','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ConnectionChecker'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DatabaseNotifyer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DesktopSaver'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','TrayChecker'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MediaInformer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','TimeNotifyer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkChecker'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IconNotifyer'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FolderSaver'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\NETCBC~1.EXE','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppchrome'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppiexplore'); DeleteFile('C:\Users\Misha\AppData\Local\Temp\NETCBC~2.EXE','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iaaguiuxrd'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64'); DeleteFile('C:\Users\Misha\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\nethost task','64'); DeleteFile('C:\Users\Misha\appdata\local\systemdir\setsearchm.exe','32'); DeleteFile('C:\Users\Misha\appdata\roaming\x11\a\engine.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Сделайте логи RSIT
imartin Опубликовано 6 февраля, 2015 Автор Опубликовано 6 февраля, 2015 Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2497333899] Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.{4622aef0-e33e-4e1f-9b62-ca3f18b46b25}Gw64.sys,{5c281c6e-0132-4ac6-ad9d-d1d95d218412}Gw64.sys,{921265c3-88e5-40e1-8d74-df5314572900}Gw64.sys,32B7.tmp,dummyDlg.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.25A8.tmp - Backdoor.Win32.Hlux.csf31E8.tmp - Backdoor.Win32.Hlux.eizv3E0A.tmp,510D.tmp,B1A2.tmp - Trojan.Win32.Crypt.dbp5311.tmp - Backdoor.Win32.Androm.gfbw72A9.tmp - Backdoor.Win32.Hlux.eixjF2C6.tmp - Backdoor.Win32.Hlux.eioqFF84.tmp - Trojan-Spy.Win32.Zbot.sbnznethost.exe - Trojan-Dropper.Win32.Agent.olplsetsearchm.exe - Trojan.Win32.Agent.idxaДетектирование файлов будет добавлено в следующее обновление.cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xmyengine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvpЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.protectwindowsmanager.exe - not-a-virus:AdWare.Win32.WProtManager.uЭто файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах:http://www.kaspersky.ru/extraavupdatesssleas.exeВредоносный код в файле не обнаружен.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru" CollectionLog-2015.02.06-20.26.zip
thyrex Опубликовано 6 февраля, 2015 Опубликовано 6 февраля, 2015 Сделайте лог полного сканирования МВАМ
thyrex Опубликовано 6 февраля, 2015 Опубликовано 6 февраля, 2015 Файлы C:\Users\Misha\AppData\Local\Temp\E397.tmp C:\Users\Misha\AppData\Local\Temp\E3CB.tmp C:\Users\Misha\AppData\Local\Temp\A1C4.tmp C:\Users\Misha\AppData\Local\Temp\3XYJqCQ3SwyN.exe C:\Users\Misha\AppData\Local\Temp\C294.tmp C:\Users\Misha\AppData\Local\Temp\netED16.tmp.exe C:\Users\Misha\AppData\Local\Temp\netED18.tmp.exe C:\Users\Misha\AppData\Local\Temp\NrZAHSzIACai.exe C:\Users\Misha\AppData\Local\Temp\6240.tmp C:\Users\Misha\AppData\Local\Temp\6549.tmp C:\Users\Misha\AppData\Local\Temp\6B02.tmp C:\Users\Misha\AppData\Local\Temp\6CE7.tmp C:\Users\Misha\AppData\Local\Temp\458097.exe.exe C:\Users\Misha\AppData\Local\Temp\5020.tmp C:\Users\Misha\AppData\Local\Temp\QGbJuCxlwSdD.exe C:\ProgramData\Windows\csrss.exe C:\Users\Misha\AppData\Local\Temp\bbjcabfedbb.exe Заархивируйте с паролем virus, выложите на rghost.ru и пришлите ссылку на скачивание мне в личные сообщения Поместите в карантин МВАМ все, кроме Trojan.Proxy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{C379EAD1-CB34-4B09-AF6B-7E587F8BCD80}, , [76c9809b3f4b1a1ca3239a608c7635cb], Trojan.Proxy, HKLM\SOFTWARE\CLASSES\photoshop_cs5_rus_install.DynamicNS, , [76c9809b3f4b1a1ca3239a608c7635cb], Trojan.Proxy, HKLM\SOFTWARE\WOW6432NODE\CLASSES\photoshop_cs5_rus_install.DynamicNS, , [76c9809b3f4b1a1ca3239a608c7635cb],
imartin Опубликовано 6 февраля, 2015 Автор Опубликовано 6 февраля, 2015 Как поместить в карантин ? Я не понял
thyrex Опубликовано 6 февраля, 2015 Опубликовано 6 февраля, 2015 Я в архиве просил прислать указанные файлы, а Вы что прислали?
imartin Опубликовано 6 февраля, 2015 Автор Опубликовано 6 февраля, 2015 А где их взять то?) Я не бом бом)
thyrex Опубликовано 6 февраля, 2015 Опубликовано 6 февраля, 2015 А я для чего указал в списке, где их искать?
thyrex Опубликовано 7 февраля, 2015 Опубликовано 7 февраля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Misha\AppData\Local\Temp\E397.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\E3CB.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\A1C4.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\3XYJqCQ3SwyN.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\C294.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\netED16.tmp.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\netED18.tmp.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\NrZAHSzIACai.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\6240.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\6549.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\6B02.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\6CE7.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\458097.exe.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\5020.tmp',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\QGbJuCxlwSdD.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Users\Misha\AppData\Local\Temp\bbjcabfedbb.exe',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. Отправьте c:\quarantine.zip мне так, как я просил
imartin Опубликовано 8 февраля, 2015 Автор Опубликовано 8 февраля, 2015 Вот. Сообщение от модератора Mark D. Pearlstone Карантин на форум прикреплять не нужно. Файл удалён.
thyrex Опубликовано 8 февраля, 2015 Опубликовано 8 февраля, 2015 То, что я просил сделать в МВАМ, выполнили?
imartin Опубликовано 8 февраля, 2015 Автор Опубликовано 8 февраля, 2015 Вроде нет Я ж писал. Не разобрался как поместить.. Если можно дайте краткое описание как поместить
mike 1 Опубликовано 8 февраля, 2015 Опубликовано 8 февраля, 2015 Тут http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-2.23670/есть инструкция.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти