DEMANSO 0 Опубликовано 6 февраля, 2015 Share Опубликовано 6 февраля, 2015 Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 5A89180C7613A2318081|0 на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 5A89180C7613A2318081|0 to e-mail address deshifrator01@gmail.com or deshifrovka@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.02.06-12.52.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 6 февраля, 2015 Share Опубликовано 6 февраля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Виталий\AppData\Roaming\Skype\Reversed\steam.exe',''); QuarantineFile('C:\Users\Виталий\AppData\Local\SystemDir\nethost.exe',''); QuarantineFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe',''); DelBHO('{7CE987D5-11B3-44FC-9C3D-03069360D462}'); DelBHO('{1FE48F08-A2AC-44AC-A21C-0556D91C50DA}'); QuarantineFile('C:\Users\Виталий\AppData\Roaming\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Users\Виталий\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Users\Виталий\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET925~1.EXE',''); QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~1.EXE',''); QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~2.EXE',''); QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\temp3096240002.exe',''); QuarantineFile('C:\Users\99E7~1\AppData\Local\Temp\7E15.tmp',''); QuarantineFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll',''); QuarantineFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll',''); TerminateProcessByName('c:\users\Виталий\appdata\local\temp\temp3096240002.exe'); QuarantineFile('c:\users\Виталий\appdata\local\temp\temp3096240002.exe',''); TerminateProcessByName('c:\users\Виталий\appdata\local\microsoft\windows\system.exe'); QuarantineFile('c:\users\Виталий\appdata\local\microsoft\windows\system.exe',''); TerminateProcessByName('c:\users\Виталий\appdata\roaming\ssleas.exe'); QuarantineFile('c:\users\Виталий\appdata\roaming\ssleas.exe',''); TerminateProcessByName('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe'); QuarantineFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe',''); TerminateProcessByName('c:\users\Виталий\appdata\roaming\x11\a\engine.exe'); QuarantineFile('c:\users\Виталий\appdata\roaming\x11\a\engine.exe',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); TerminateProcessByName('c:\users\Виталий\appdata\roaming\cppredistx86.exe'); QuarantineFile('c:\users\Виталий\appdata\roaming\cppredistx86.exe',''); TerminateProcessByName('c:\program files (x86)\advplugin\backgroundsingleton.exe'); QuarantineFile('c:\program files (x86)\advplugin\backgroundsingleton.exe',''); DeleteFile('c:\program files (x86)\advplugin\backgroundsingleton.exe','32'); DeleteFile('c:\users\Виталий\appdata\roaming\cppredistx86.exe','32'); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('c:\users\Виталий\appdata\roaming\x11\a\engine.exe','32'); DeleteFile('c:\program files (x86)\advplugin\basement\extensionupdaterservice.exe','32'); DeleteFile('c:\users\Виталий\appdata\roaming\ssleas.exe','32'); DeleteFile('c:\users\Виталий\appdata\local\microsoft\windows\system.exe','32'); DeleteFile('c:\users\Виталий\appdata\local\temp\temp3096240002.exe','32'); DeleteFile('C:\Program Files (x86)\advPlugin\Interfaces32.dll','32'); DeleteFile('C:\Program Files (x86)\advPlugin\Toolbar32.dll','32'); DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\7E15.tmp','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','NetworkNotifyer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppiexplore'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppoldopera'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','GoSearchRemoveAppopera'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver'); DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\temp3096240002.exe','32'); DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~2.EXE','32'); DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET926~1.EXE','32'); DeleteFile('C:\Users\99E7~1\AppData\Local\Temp\NET925~1.EXE','32'); DeleteFile('C:\Users\Виталий\AppData\Local\Kometa\Application\kometa.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_D000614A74A997020667B475EB87C008'); DeleteFile('C:\Users\Виталий\AppData\Local\Kometa\kometaup.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kometaup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SystemScript'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportVerifyer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010'); DeleteFile('C:\Users\Виталий\AppData\Roaming\eTranslator\eTranslator.exe','32'); DeleteFile('C:\Users\Виталий\AppData\Roaming\ebtwgbrh\bvssraiv.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','EMU'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Triumph Studios'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','svtoetuktb'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD'); DeleteFile('C:\Program Files (x86)\Microsoft Data\InstallAddons.exe','32'); DeleteFile('C:\Windows\system32\Tasks\chrome5','64'); DeleteFile('C:\Windows\system32\Tasks\chrome5_logon','64'); DeleteFile('C:\Windows\system32\Tasks\nethost task','64'); DeleteFile('C:\Users\Виталий\AppData\Local\SystemDir\nethost.exe','32'); DeleteFile('C:\Users\Виталий\AppData\Roaming\Skype\Reversed\steam.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Steam-S-1-8-22-9865GUI','64'); DeleteFile('C:\Windows\system32\Tasks\SystemScript','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Цитата Ссылка на сообщение Поделиться на другие сайты
DEMANSO 0 Опубликовано 6 февраля, 2015 Автор Share Опубликовано 6 февраля, 2015 (изменено) Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2497054767] Здравствуйте,Это сообщение сформировано автоматической системой приема писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.7E15.tmp - Backdoor.Win32.Hlux.ejarcppredistx86.exe - Trojan.Win32.BitMiner.jccsrss.exe - Backdoor.Win32.Androm.gfbwNET925~1.EXE - Trojan.Win32.Агент.idxanethost.exe - Trojan-Dropper.Win32.Агент.olplsystem.exe - Trojan.Win32.Агент.amirkДетектирование файлов будет добавлено в следующее обновление.backgroundsingleton.exe,extensionupdaterservice.exe,Interfaces32.dll,kometa.exetemp3096240002.exe,temp3096240002_0.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvpkometaup.exe - not-a-virus:Downloader.Win32.Агент.cxansteam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhbToolbar32.dll - not-a-virus:WebToolbar.Win32.Агент.bgnЭто - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.eTranslator.exe,ssleas.exeВредоносный код в файлах не обнаружен.InstallAddons.exe - not-a-virus:AdWare.Win32.Агент.gvofЭто файл от рекламной системы. Детектирование файла будет добавлено в следующее обновление расширенного набора баз. Подробная информация о расширенных базах:http://www.kaspersky.ru/extraavupdatesС уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"Здравствуйте,Это сообщение было сгенерировано автоматической системы реагирования на сообщения. Сообщение содержит сведения о вердикты, которые были возвращены Anti-Virus в ответ на файлы (если таковые включены в сообщение) последние обновления установлены. Запросы от зарегистрированных пользователей, которые были отправлены из приборной панели (https://my.kaspersky.com/en/support/viruslab) или CompanyAccount (https://companyaccount.kaspersky.com) также получит ответа вирусного аналитика.7E15.tmp - Backdoor.Win32.Hlux.ejarcppredistx86.exe - Trojan.Win32.BitMiner.jccsrss.exe - Backdoor.Win32.Androm.gfbwNET925~1.EXE - Trojan.Win32.Агент.idxanethost.exe - Trojan-Dropper.Win32.Агент.olplsystem.exe - Trojan.Win32.Агент.amirkНовое вредоносное программное обеспечение было найдено в этих файлах. Детектирование будет включено в очередное обновление. Благодарю вас за вашу помощь.backgroundsingleton.exe,extensionupdaterservice.exe,Interfaces32.dll,kometa.exetemp3096240002.exe,temp3096240002_0.exeНабор неизвестные файлы, не поступало. Они будут отправлены в вирусную лабораторию.engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvpkometaup.exe - not-a-virus:Downloader.Win32.Агент.cxansteam.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xhbToolbar32.dll - not-a-virus:WebToolbar.Win32.Агент.bgnНовый потенциально риск программное обеспечение было найдено в этих файлах. Детектирование будет включено в очередное обновление. Благодарю вас за вашу помощь.eTranslator.exe,ssleas.exeВредоносный код был обнаружен в эти файлы.InstallAddons.exe - not-a-virus:AdWare.Win32.Агент.gvofЭтот файл-это рекламный инструмент, это детектирование будет включено в очередное обновление расширенного набора баз. См. подробнее о расширенных базах данных здесь: http://www.kaspersky.com/extraavupdatesС Уважением, Лаборатория Касперского"39а/3 Ленинградское шоссе, Москва, 125212, Россия Тел./Факс: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"--------------------------------------------------------------------------------От: [скрыто]Отправлено: 06.02.2015 12:15:13: newvirus@kaspersky.comТема: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] Сообщение от модератора Почта удалена CollectionLog-2015.02.06-15.00.zip Изменено 6 февраля, 2015 пользователем mike 1 Почта удалена Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 6 февраля, 2015 Share Опубликовано 6 февраля, 2015 eTranslator.exe Вредоносный код в файлах не обнаружен. Отпишитесь им и скажите, чтобы перепроверялиЭто файл от Adware Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hi.ru/search/?q={searchTerms} Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
DEMANSO 0 Опубликовано 6 февраля, 2015 Автор Share Опубликовано 6 февраля, 2015 eTranslator.exe Вредоносный код в файлах не обнаружен. Отпишитесь им и скажите, чтобы перепроверялиЭто файл от Adware Пофиксите в HiJack R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://hi.ru/search/?q={searchTerms} Сделайте лог полного сканирования МВАМ А как именно им отписаться ? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 493 Опубликовано 6 февраля, 2015 Share Опубликовано 6 февраля, 2015 А как именно им отписаться ? Ответьте на полученное письмо и напишите, что не согласны с детектом указанного файла. Можете сослаться на меня Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.