Перейти к содержанию

Вирус зашифровал все файлы


Рекомендуемые сообщения

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

5A89180C7613A2318081|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

5A89180C7613A2318081|0

to e-mail address deshifrator01@gmail.com or deshifrovka@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.02.06-12.52.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Виталий\AppData\Roaming\Skype\Reversed\steam.exe','');
QuarantineFile('C:\Users\Виталий\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
QuarantineFile('C:\Users\Виталий\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\Виталий\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Users\Виталий\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET925~1.EXE','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~1.EXE','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~2.EXE','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\temp3096240002.exe','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\7E15.tmp','');
QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
QuarantineFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','');
TerminateProcessByName('c:\users\Виталий\appdata\local\temp\temp3096240002.exe');
QuarantineFile('c:\users\Виталий\appdata\local\temp\temp3096240002.exe','');
TerminateProcessByName('c:\users\Виталий\appdata\local\microsoft\windows\system.exe');
QuarantineFile('c:\users\Виталий\appdata\local\microsoft\windows\system.exe','');
TerminateProcessByName('c:\users\Виталий\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\Виталий\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
TerminateProcessByName('c:\users\Виталий\appdata\roaming\x11\a\engine.exe');
QuarantineFile('c:\users\Виталий\appdata\roaming\x11\a\engine.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\users\Виталий\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\Виталий\appdata\roaming\cppredistx86.exe','');
TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe');
QuarantineFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','');
DeleteFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','32');
DeleteFile('c:\users\Виталий\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\users\Виталий\appdata\roaming\x11\a\engine.exe','32');
DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('c:\users\Виталий\appdata\roaming\ssleas.exe','32');
DeleteFile('c:\users\Виталий\appdata\local\microsoft\windows\system.exe','32');
DeleteFile('c:\users\Виталий\appdata\local\temp\temp3096240002.exe','32');
DeleteFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','32');
DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\7E15.tmp','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkNotifyer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppiexplore');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppoldopera');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppopera');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\temp3096240002.exe','32');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~2.EXE','32');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~1.EXE','32');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET925~1.EXE','32');
DeleteFile('C:\Users\Виталий\AppData\Local\Kometa\Application\kometa.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_D000614A74A997020667B475EB87C008');
DeleteFile('C:\Users\Виталий\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportVerifyer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\Виталий\AppData\Roaming\eTranslator\eTranslator.exe','32');
DeleteFile('C:\Users\Виталий\AppData\Roaming\ebtwgbrh\bvssraiv.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EMU');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Triumph Studios');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svtoetuktb');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\Виталий\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Users\Виталий\AppData\Roaming\Skype\Reversed\steam.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2497054767]

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приема писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

7E15.tmp - Backdoor.Win32.Hlux.ejar
cppredistx86.exe - Trojan.Win32.BitMiner.jc
csrss.exe - Backdoor.Win32.Androm.gfbw
NET925~1.EXE - Trojan.Win32.Агент.idxa
nethost.exe - Trojan-Dropper.Win32.Агент.olpl
system.exe - Trojan.Win32.Агент.amirk

Детектирование файлов будет добавлено в следующее обновление.

backgroundsingleton.exe,
extensionupdaterservice.exe,
Interfaces32.dll,
kometa.exe
temp3096240002.exe,
temp3096240002_0.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp
kometaup.exe - not-a-virus:Downloader.Win32.Агент.cxan
steam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhb
Toolbar32.dll - not-a-virus:WebToolbar.Win32.Агент.bgn

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

eTranslator.exe,
ssleas.exe

Вредоносный код в файлах не обнаружен.

InstallAddons.exe - not-a-virus:AdWare.Win32.Агент.gvof

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах:http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Здравствуйте,

Это сообщение было сгенерировано автоматической системы реагирования на сообщения. Сообщение содержит сведения о вердикты, которые были возвращены Anti-Virus в ответ на файлы (если таковые включены в сообщение) последние обновления установлены. Запросы от зарегистрированных пользователей, которые были отправлены из приборной панели (https://my.kaspersky.com/en/support/viruslab) или CompanyAccount (https://companyaccount.kaspersky.com) также получит ответа вирусного аналитика.

7E15.tmp - Backdoor.Win32.Hlux.ejar
cppredistx86.exe - Trojan.Win32.BitMiner.jc
csrss.exe - Backdoor.Win32.Androm.gfbw
NET925~1.EXE - Trojan.Win32.Агент.idxa
nethost.exe - Trojan-Dropper.Win32.Агент.olpl
system.exe - Trojan.Win32.Агент.amirk

Новое вредоносное программное обеспечение было найдено в этих файлах. Детектирование будет включено в очередное обновление. Благодарю вас за вашу помощь.

backgroundsingleton.exe,
extensionupdaterservice.exe,
Interfaces32.dll,
kometa.exe
temp3096240002.exe,
temp3096240002_0.exe

Набор неизвестные файлы, не поступало. Они будут отправлены в вирусную лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp
kometaup.exe - not-a-virus:Downloader.Win32.Агент.cxan
steam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhb
Toolbar32.dll - not-a-virus:WebToolbar.Win32.Агент.bgn

Новый потенциально риск программное обеспечение было найдено в этих файлах. Детектирование будет включено в очередное обновление. Благодарю вас за вашу помощь.

eTranslator.exe,
ssleas.exe

Вредоносный код был обнаружен в эти файлы.

InstallAddons.exe - not-a-virus:AdWare.Win32.Агент.gvof

Этот файл-это рекламный инструмент, это детектирование будет включено в очередное обновление расширенного набора баз. См. подробнее о расширенных базах данных здесь: http://www.kaspersky.com/extraavupdates

С Уважением, Лаборатория Касперского

"39а/3 Ленинградское шоссе, Москва, 125212, Россия Тел./Факс: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
От: [скрыто]
Отправлено: 06.02.2015 12:15:13
: newvirus@kaspersky.com
Тема: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]

 

Сообщение от модератора
Почта удалена

CollectionLog-2015.02.06-15.00.zip

Изменено пользователем mike 1
Почта удалена
Ссылка на комментарий
Поделиться на другие сайты

 

 


eTranslator.exe

 

Вредоносный код в файлах не обнаружен.

Отпишитесь им и скажите, чтобы перепроверяли

Это файл от Adware

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hi.ru/search/?q={searchTerms}

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты

 

eTranslator.exe

 

Вредоносный код в файлах не обнаружен.

Отпишитесь им и скажите, чтобы перепроверяли

Это файл от Adware

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hi.ru/search/?q={searchTerms}

Сделайте лог полного сканирования МВАМ

 

А как именно им отписаться ?

Ссылка на комментарий
Поделиться на другие сайты

А как именно им отписаться ?

Ответьте на полученное письмо и напишите, что не согласны с детектом указанного файла. Можете сослаться на меня  :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...