Перейти к содержанию

Ваши файлы были зашифрованы .xtbl

dmitriy.avp
 Поделиться

Рекомендуемые сообщения

dmitriy.avp Новичок

dmitriy.avp

Опубликовано
Опубликовано

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
FAA6F54ADA7AFAED3A44|0
на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

Добрый день ! Вот такая штука, по всему экрану и в файлах .txt.

 

p.s тему создал только здесь. Очень надеюсь на вашу помощь.

CollectionLog-2015.02.11-13.56.zip

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! Деинсталлируйте:
 

Settings Manager
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\intel\web\microsoft\surfguard.exe');
 TerminateProcessByName('c:\program files\assets manager\smdmf\smdmfservice.exe');
 TerminateProcessByName('c:\intel\web\microsoft\safesurf.exe');
 SetServiceStart('F06DEFF2-5B9C-490D-910F-35D3A9119622', 4);
 StopService('F06DEFF2-5B9C-490D-910F-35D3A9119622');
 QuarantineFile('c:\program files\settings manager\smdmf\x64\sysapcrt.dll','');
 QuarantineFile('C:\windows\TEMP\1A6.tmp','');
 QuarantineFile('C:\windows\TEMP\130.tmp','');
 QuarantineFile('C:\WINDOWS\system32\FdDttQYRsYxGpS.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Windows\IEUpdate\w32tm.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Windows\IEUpdate\ntvdm.exe','');
 QuarantineFile('C:\Documents and Settings\user\Application Data\Abipho\ylkyn.exe','');
 QuarantineFile('C:\Documents and Settings\Default User\Application Data\Microsoft\Windows\IEUpdate\w32tm.exe','');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','');
 QuarantineFile(',G:\DUSKO\svjetlana.exe','');
 QuarantineFile('C:\Program Files\Settings Manager\smdmf\smdmfmgrc3.cfg','');
 QuarantineFile('c:\intel\web\microsoft\surfguard.exe','');
 QuarantineFile('c:\program files\assets manager\smdmf\smdmfservice.exe','');
 QuarantineFile('c:\intel\web\microsoft\safesurf.exe','');
 DeleteFile('c:\intel\web\microsoft\safesurf.exe','32');
 DeleteFile('c:\program files\assets manager\smdmf\smdmfservice.exe','32');
 DeleteFile('c:\intel\web\microsoft\surfguard.exe','32');
 DeleteFile('C:\Program Files\Settings Manager\smdmf\smdmfmgrc3.cfg','32');
 DeleteFile(',G:\DUSKO\svjetlana.exe','32');
 DeleteFile('C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe','32');
 DeleteFile('C:\Documents and Settings\Default User\Application Data\Microsoft\Windows\IEUpdate\w32tm.exe','32');
 DeleteFile('C:\Documents and Settings\user\Application Data\Abipho\ylkyn.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Windows\IEUpdate\ntvdm.exe','32');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\Windows\IEUpdate\w32tm.exe','32');
 DeleteFile('C:\windows\TEMP\130.tmp','32');
 DeleteFile('C:\windows\TEMP\1A6.tmp','32');
 DeleteFile('C:\windows\system32\FdDttQYRsYxGpS.exe','32');
 DeleteFile('c:\program files\settings manager\smdmf\x64\sysapcrt.dll','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','w32tm');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce','w32tm');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Command Processor','AutoRun');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Command Processor\','Autorun');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','w32tm');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce','w32tm');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Command Processor','AutoRun');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Command Processor\','Autorun');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','Run');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3375732510-733476473-3849998313-1003\Software\Microsoft\Windows\CurrentVersion\Run','{81CDE739-4F21-EA85-B58B-74AC2B9EEC65}');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3375732510-733476473-3849998313-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','UeLDwwBIrwI_QtizZrzjwUJXsW');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CrashReportSaver');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','TimeChecker');
 RegKeyParamDel('HKEY_USERS','S-1-5-21-3375732510-733476473-3849998313-1003\Software\Microsoft\Windows\CurrentVersion\Run','UeLDwwBIrwI_QtizZrzjwUJXsW');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteService('F06DEFF2-5B9C-490D-910F-35D3A9119622');  
 DeleteFileMask('C:\Documents and Settings\All Users\Application Data\smdmf', '*', true, ' ');
 DeleteDirectory('C:\Documents and Settings\All Users\Application Data\smdmf');
 DeleteFileMask('C:\Program Files\Assets Manager', '*', true, ' ');
 DeleteDirectory('C:\Program Files\Assets Manager');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
end.
 
Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
O4 - HKLM\..\Run: [CrashReportSaver] C:\windows\TEMP\1A6.tmp
O4 - HKLM\..\Run: [TimeChecker] C:\windows\TEMP\130.tmp
O4 - HKUS\S-1-5-21-3375732510-733476473-3849998313-1003\..\Policies\Explorer\Run: [UeLDwwBIrwI_QtizZrzjwUJXsW] C:\WINDOWS\system32\FdDttQYRsYxGpS.exe (User 'Ткаченко Евгения')
O4 - S-1-5-21-3375732510-733476473-3849998313-1003 Startup: System Check.lnk = C:\WINDOWS\system32\FdDttQYRsYxGpS.exe (User 'Ткаченко Евгения')
O4 - S-1-5-18 Startup: ntvdm.lnk = C:\Documents and Settings\Default User\Application Data\Microsoft\Windows\IEUpdate\ntvdm.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: w32tm.lnk = C:\Documents and Settings\Default User\Application Data\Microsoft\Windows\IEUpdate\w32tm.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: ntvdm.lnk = C:\Documents and Settings\Default User\Application Data\Microsoft\Windows\IEUpdate\ntvdm.exe (User 'Default user')
O4 - .DEFAULT Startup: w32tm.lnk = C:\Documents and Settings\Default User\Application Data\Microsoft\Windows\IEUpdate\w32tm.exe (User 'Default user')
O20 - AppInit_DLLs:
 
Сделайте новые логи Автологгером не через терминальную сессию. 
 

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве
 
 
В следующем вашем ответе мне требуются следующие отчеты:
 
1. CollectionLog-yyyy.mm.dd-hh.mm.zip
 
2. Лог MBAM.
Ссылка на комментарий
Поделиться на другие сайты
dmitriy.avp Новичок

dmitriy.avp

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

130.tmp - Trojan-PSW.Win32.Tepfer.uvvx

1A6.tmp - Trojan-PSW.Win32.Agent.apjc

csrss.exe - Backdoor.Win32.Androm.gcpa

 

Детектирование файлов будет добавлено в следующее обновление.

 

FdDttQYRsYxGpS.exe,

safesurf.exe,

w32tm.exe

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

smdmfservice.exe - not-a-virus:WebToolbar.Win64.SearchSuite.e

 

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

 

surfguard.exe

 

Вредоносный код в файле не обнаружен.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

 

 

Версия Windows: 5.2.3790, Service Pack 2 "Microsoft Windows Server 2003" ; AVZ работает с правами администратора,AVZ запущен из терминальной сессии (RDP-Tcp#1)

 

Логи просил сделать не через терминальную сессию. 

 

Лог MBAM где? 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
dmitriy.avp Новичок

dmitriy.avp

Опубликовано
  • Автор
Опубликовано

Лог MBAM


Пока нет возможности локально сделать. Если критично, тогда я сьезжу сделаю локальну и скину.

MBAM-log-2015-02-13 (15-07-35).txt

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

1. Выполните скрипт в AVZ:

begin          
 QuarantineFile('C:\WINDOWS\TEMP\160.tmp','');
 QuarantineFile('C:\WINDOWS\TEMP\2FB.tmp','');
 QuarantineFile('C:\WINDOWS\TEMP\2FE.tmp','');
 QuarantineFile('C:\WINDOWS\TEMP\682.tmp','');
 QuarantineFile('C:\WINDOWS\TEMP\AD.tmp','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine2.zip');  
end.
quarantine2.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
 

2. Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).
 
Registry Keys Detected: 3
HKLM\SOFTWARE\JetSwap (PUP.Optional.SafeGuard) -> No action taken.
HKLM\SOFTWARE\SmdmF (PUP.Optional.SettingsManager.A) -> No action taken.
HKLM\SOFTWARE\System32 (Backdoor.Bifrose) -> No action taken.
 
Folders Detected: 7
C:\Documents and Settings\Default User\AppData\LocalLow\DataMngr (PUP.Optional.Datamngr.A) -> No action taken.
C:\Program Files\Settings Manager\smdmf (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\Администратор\Application Data\FirefoxToolbar\Settings Manager (PUP.Optional.SettingsManager.A) -> No action taken.
 
Files Detected: 77
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF14.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF10.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF11.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF12.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF13.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF15.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF16.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF17.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF18.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF19.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF2.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF20.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF21.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF22.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF23.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF24.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF25.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF26.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF27.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF28.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF29.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF30.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF31.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF32.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF33.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF34.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF4.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF5.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF6.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF7.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF8.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF9.dll (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\Sun\Java\Deployment\cache\6.0\28\7d7e05dc-4fb0a33c (Spyware.Zbot) -> No action taken.
C:\Documents and Settings\user\Application Data\Sun\Java\Deployment\cache\6.0\59\7665b2bb-54439d94 (Trojan.Agent.Gen) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\sr_SettingsManagerSetup.exe (PUP.Optional.Linkey.A) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\nsf11EC\Uninstall.exe (PUP.Optional.Linkey.A) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\nsr11BD\tbicon.exe (PUP.Optional.Linkey.A) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\nsr11BD\nsx11C1.tmp\ffExtension.exe (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\nsr11BD\nsx11C1.tmp\mediabar.exe (PUP.Optional.Linkey.A) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\nsr11BD\nsx11C1.tmp\pack.exe (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\nsr11BD\nsx11C1.tmp\SettingsManagerMediaBar.exe (PUP.Optional.Linkey.A) -> No action taken.


C:\WINDOWS\TEMP\160.tmp (Spyware.Password) -> No action taken.
C:\WINDOWS\TEMP\2FB.tmp (Trojan.Agent.ED) -> No action taken.
C:\WINDOWS\TEMP\2FE.tmp (Trojan.Agent.ED) -> No action taken.
C:\WINDOWS\TEMP\682.tmp (Spyware.Password) -> No action taken.
C:\WINDOWS\TEMP\AD.tmp (Trojan.MSIL) -> No action taken.
C:\WINDOWS\TEMP\ae7243c2\DSManagerSetup.exe (PUP.Optional.Linkey.A) -> No action taken.
C:\WINDOWS\TEMP\nsxD22\tbicon.exe (PUP.Optional.Linkey.A) -> No action taken.
C:\WINDOWS\TEMP\nsxD22\nseD24.tmp\pack.exe (PUP.Optional.SettingsManager.A) -> No action taken.
C:\WINDOWS\TEMP\nsxD22\nseD24.tmp\new_folder\SmdmFService.exe (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Program Files\Mozilla Firefox\browser\searchplugins\default-search.xml (PUP.Optional.DefaultSearch.A) -> No action taken.
C:\Documents and Settings\Default User\AppData\LocalLow\DataMngr\{99BB1406-1CFB-488C-90D1-2D978E04F707} (PUP.Optional.Datamngr.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\chrome.manifest (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\qx4cA3zN70uj3hKC2L5QpW8SFybX1Kr2iUH-Vo1DrnE=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\components\SmdmFHlpFF.xpt (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\7kogQOeciewoLe9gwTvXoKZsSEAKjL-TzU57fcbgEEw=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\c+JhfsrKN8gH-zvtqSpYNG-L5N3K2m9Xxmwv-Q2qHHY=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\dHi0OtOoollbZ5NryD43O-TFP--AV-T0KnagC-bBabqdIjG5JXvaTt3dznxWxNUy.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\E5zHH0d2rladvx319T-FQ8vIxeLJ1QQol0nr8qVQSyg=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\fQJVdWZtS+qaNG4GDXpXg7GDQn3ZaLyMu3QkyxB08Dk=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\G48yv0APCma9hRBuJQcrrjEdGr-gFh654dn9UmNPZKU=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\hb3prn5K99Xh6yD2o8d3FvqYKIaYOJtAA5XdtSQvUEHpGcMWqReYY5RcJ4plgvn7.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\IVVECCgt+3CbOnaF9udNxcRkgX9uT20+T7Iz+Fuy-DY=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\overlay.xul (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\Qok4ug81s8ysB7zPAie2y7tK+Td+F7uEP413TEGyWig=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
C:\Documents and Settings\user\Application Data\FirefoxToolbar\Settings Manager\smdmf\content\v0z4JE8gqtKL5KmtXsyZjPdFYOxNue56mv6JTbbqP6Q=.xtbl (PUP.Optional.SettingsManager.A) -> No action taken.
 
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
 

 

Ссылка на комментарий
Поделиться на другие сайты
dmitriy.avp Новичок

dmitriy.avp

Опубликовано
  • Автор
Опубликовано

KLAN-251927863

 

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

 

160.tmp - Trojan-PSW.Win32.Tepfer.uvvx

2FB.tmp,

2FE.tmp - Trojan-PSW.Win32.Tepfer.uvts

682.tmp - Trojan.Win32.Crypt.dbs

AD.tmp - Backdoor.Win32.Androm.gdde

 

Детектирование файлов будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ru http://www.viruslist.ru"

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Смените все пароли.

 

 

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

?

Ссылка на комментарий
Поделиться на другие сайты
dmitriy.avp Новичок

dmitriy.avp

Опубликовано
  • Автор
Опубликовано

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

 

А что имееться ввиду? Удалять все в MBAM?

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

 

C:\Documents and Settings\Администратор\Local Settings\Temp\nsr11BD\nsx11C1.tmp\ffExtension.exe

 

Удалите вручную. В остальном логи в порядке. С расшифровкой помочь не сможем.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • tamerlan
      Зашифровались файлы
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • Mep3aBEz
      Зашифровались файлы
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • sanka
      Ваши документы, базы данных и другие файлы были зашифрованы.
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • robocop1974
      Зашифрованные файлы
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
    • MidgardS1
      Зашифрованы файлы
      Автор MidgardS1
      Привет! Столкнулись с таким же шифровальщиком. Подскажите, есть возможность расшифровать данные?
       
      Сообщение от модератора Mark D. Pearlstone Перенесено из темы.
×
×
  • Создать...