Перейти к содержанию

Вирус зашифровал все файлы


Рекомендуемые сообщения

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

5A89180C7613A2318081|0

на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

5A89180C7613A2318081|0

to e-mail address deshifrator01@gmail.com or deshifrovka@india.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.02.06-12.52.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Виталий\AppData\Roaming\Skype\Reversed\steam.exe','');
QuarantineFile('C:\Users\Виталий\AppData\Local\SystemDir\nethost.exe','');
QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','');
DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}');
DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}');
QuarantineFile('C:\Users\Виталий\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\Users\Виталий\AppData\Local\Kometa\kometaup.exe','');
QuarantineFile('C:\Users\Виталий\AppData\Local\Kometa\Application\kometa.exe','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET925~1.EXE','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~1.EXE','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~2.EXE','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\temp3096240002.exe','');
QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\7E15.tmp','');
QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','');
QuarantineFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','');
TerminateProcessByName('c:\users\Виталий\appdata\local\temp\temp3096240002.exe');
QuarantineFile('c:\users\Виталий\appdata\local\temp\temp3096240002.exe','');
TerminateProcessByName('c:\users\Виталий\appdata\local\microsoft\windows\system.exe');
QuarantineFile('c:\users\Виталий\appdata\local\microsoft\windows\system.exe','');
TerminateProcessByName('c:\users\Виталий\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\Виталий\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe');
QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','');
TerminateProcessByName('c:\users\Виталий\appdata\roaming\x11\a\engine.exe');
QuarantineFile('c:\users\Виталий\appdata\roaming\x11\a\engine.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\users\Виталий\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\Виталий\appdata\roaming\cppredistx86.exe','');
TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe');
QuarantineFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','');
DeleteFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','32');
DeleteFile('c:\users\Виталий\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\users\Виталий\appdata\roaming\x11\a\engine.exe','32');
DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32');
DeleteFile('c:\users\Виталий\appdata\roaming\ssleas.exe','32');
DeleteFile('c:\users\Виталий\appdata\local\microsoft\windows\system.exe','32');
DeleteFile('c:\users\Виталий\appdata\local\temp\temp3096240002.exe','32');
DeleteFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','32');
DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\7E15.tmp','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkNotifyer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppiexplore');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppoldopera');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppopera');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\temp3096240002.exe','32');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~2.EXE','32');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~1.EXE','32');
DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET925~1.EXE','32');
DeleteFile('C:\Users\Виталий\AppData\Local\Kometa\Application\kometa.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_D000614A74A997020667B475EB87C008');
DeleteFile('C:\Users\Виталий\AppData\Local\Kometa\kometaup.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportVerifyer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\Виталий\AppData\Roaming\eTranslator\eTranslator.exe','32');
DeleteFile('C:\Users\Виталий\AppData\Roaming\ebtwgbrh\bvssraiv.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EMU');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Triumph Studios');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svtoetuktb');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32');
DeleteFile('C:\Windows\system32\Tasks\chrome5','64');
DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64');
DeleteFile('C:\Windows\system32\Tasks\nethost task','64');
DeleteFile('C:\Users\Виталий\AppData\Local\SystemDir\nethost.exe','32');
DeleteFile('C:\Users\Виталий\AppData\Roaming\Skype\Reversed\steam.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64');
DeleteFile('C:\Windows\system32\Tasks\SystemScript','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2497054767]

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приема писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

7E15.tmp - Backdoor.Win32.Hlux.ejar
cppredistx86.exe - Trojan.Win32.BitMiner.jc
csrss.exe - Backdoor.Win32.Androm.gfbw
NET925~1.EXE - Trojan.Win32.Агент.idxa
nethost.exe - Trojan-Dropper.Win32.Агент.olpl
system.exe - Trojan.Win32.Агент.amirk

Детектирование файлов будет добавлено в следующее обновление.

backgroundsingleton.exe,
extensionupdaterservice.exe,
Interfaces32.dll,
kometa.exe
temp3096240002.exe,
temp3096240002_0.exe

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp
kometaup.exe - not-a-virus:Downloader.Win32.Агент.cxan
steam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhb
Toolbar32.dll - not-a-virus:WebToolbar.Win32.Агент.bgn

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

eTranslator.exe,
ssleas.exe

Вредоносный код в файлах не обнаружен.

InstallAddons.exe - not-a-virus:AdWare.Win32.Агент.gvof

Это файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах:http://www.kaspersky.ru/extraavupdates

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"


Здравствуйте,

Это сообщение было сгенерировано автоматической системы реагирования на сообщения. Сообщение содержит сведения о вердикты, которые были возвращены Anti-Virus в ответ на файлы (если таковые включены в сообщение) последние обновления установлены. Запросы от зарегистрированных пользователей, которые были отправлены из приборной панели (https://my.kaspersky.com/en/support/viruslab) или CompanyAccount (https://companyaccount.kaspersky.com) также получит ответа вирусного аналитика.

7E15.tmp - Backdoor.Win32.Hlux.ejar
cppredistx86.exe - Trojan.Win32.BitMiner.jc
csrss.exe - Backdoor.Win32.Androm.gfbw
NET925~1.EXE - Trojan.Win32.Агент.idxa
nethost.exe - Trojan-Dropper.Win32.Агент.olpl
system.exe - Trojan.Win32.Агент.amirk

Новое вредоносное программное обеспечение было найдено в этих файлах. Детектирование будет включено в очередное обновление. Благодарю вас за вашу помощь.

backgroundsingleton.exe,
extensionupdaterservice.exe,
Interfaces32.dll,
kometa.exe
temp3096240002.exe,
temp3096240002_0.exe

Набор неизвестные файлы, не поступало. Они будут отправлены в вирусную лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp
kometaup.exe - not-a-virus:Downloader.Win32.Агент.cxan
steam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhb
Toolbar32.dll - not-a-virus:WebToolbar.Win32.Агент.bgn

Новый потенциально риск программное обеспечение было найдено в этих файлах. Детектирование будет включено в очередное обновление. Благодарю вас за вашу помощь.

eTranslator.exe,
ssleas.exe

Вредоносный код был обнаружен в эти файлы.

InstallAddons.exe - not-a-virus:AdWare.Win32.Агент.gvof

Этот файл-это рекламный инструмент, это детектирование будет включено в очередное обновление расширенного набора баз. См. подробнее о расширенных базах данных здесь: http://www.kaspersky.com/extraavupdates

С Уважением, Лаборатория Касперского

"39а/3 Ленинградское шоссе, Москва, 125212, Россия Тел./Факс: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"


--------------------------------------------------------------------------------
От: [скрыто]
Отправлено: 06.02.2015 12:15:13
: newvirus@kaspersky.com
Тема: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0]

 

Сообщение от модератора
Почта удалена

CollectionLog-2015.02.06-15.00.zip

Изменено пользователем mike 1
Почта удалена
Ссылка на комментарий
Поделиться на другие сайты

 

 


eTranslator.exe

 

Вредоносный код в файлах не обнаружен.

Отпишитесь им и скажите, чтобы перепроверяли

Это файл от Adware

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hi.ru/search/?q={searchTerms}

Сделайте лог полного сканирования МВАМ

Ссылка на комментарий
Поделиться на другие сайты

 

eTranslator.exe

 

Вредоносный код в файлах не обнаружен.

Отпишитесь им и скажите, чтобы перепроверяли

Это файл от Adware

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hi.ru/search/?q={searchTerms}

Сделайте лог полного сканирования МВАМ

 

А как именно им отписаться ?

Ссылка на комментарий
Поделиться на другие сайты

А как именно им отписаться ?

Ответьте на полученное письмо и напишите, что не согласны с детектом указанного файла. Можете сослаться на меня  :)

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Kemel
      От Kemel
      Your ID: EBF7F3B5F6C0398D
      If you want your files back, contact us at the email addresses shown below.
      Frank1850@mailum.com
      Frank1850@firemail.de
      ((*** Your ID must be included in the subject line of your email or we WILL NOT answer ***))
      This notification shows that your system has been hacked.
      Your files have not been damaged or infected by viruses; they are just locked with the Frank suffix.
      We saved your data on our servers,
      and if you don't contact us, we'll extract your sensitive information and put it on the darknet, where anybody can view it.
      We have no political goals and are not trying to harm your reputation.
      This is our business. Money and our reputation are the only things that matter to us.
      There is no software or company on the internet that can recover your locked files; we are the only ones who can help you.
      Do Not Change These Locked Files; if you want to do it anyway, make a backup of your files first.
      Frank_Help.txt Зашифрованные файлы.rar
    • specxpilot
      От specxpilot
      Текст сообщения 
      !!!Your files have been encrypted!!!
      To recover them, please contact us via email:
      Write the ID in the email subject
      ID: E3EA701E87735CC1E8DD980E923F89D4
      Email 1: Datablack0068@gmail.com
      Email 2: Datablack0068@cyberfear.com
      Telegram: @Datablack0068

      To ensure decryption you can send 1-2 files (less than 1MB) we will decrypt it for free.
      IF 48 HOURS PASS WITHOUT YOUR ATTENTION, BRACE YOURSELF FOR A DOUBLED PRICE.
      WE DON'T PLAY AROUND HERE, TAKE THE HOURS SERIOUSLY.
    • Максим Ivanov
      От Максим Ivanov
      Файлы с расширением .want_to_cry. Kaspersky Small Office Security вируса не обнаружил, при этом не все файлы на диске были зашифрованы, только одна папка. Во вложении все необходимое.
      Addition.txt FRST.txt Файлы.rar
    • Azward
      От Azward
      Добрый день! 
      Зашифровались все файлы на рабочей машине. В том числе 1с базы.
      [MJ-CR7920861453](decodehop@gmail.com )   Все файлы с таким расширением.
      Отправил во вложении Архив с файлом, и логи FRST
      Надеемся на вашу помощь. Стоял касперский Small office security. Не помог. Сейчас вовсе исчез.
      virus.rar Addition.txt FRST.txt
    • Andrei Butyrchyk
      От Andrei Butyrchyk
      Здравствуйте!
      Отработал на машине шифровальщик. До конца отработать, по всей видимости, не успел так как нет записки и не все файлы были зашифрованы.
      Есть папки с RSADecryptKey и предположительно сам файл шифровальщик.
      FRST.zip EncryptedFiles.zip
×
×
  • Создать...