STiLLeN 0 Опубликовано 11 февраля, 2015 Share Опубликовано 11 февраля, 2015 Добрый вечер, такая ситуация: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 0273374CB15C7D34CB92|0 на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 0273374CB15C7D34CB92|0 to e-mail address deshifrator01@gmail.com or deshifrovka@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. Логи:CollectionLog-2015.02.11-23.04.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 11 февраля, 2015 Share Опубликовано 11 февраля, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Деинсталлируйте: FlvPlayer QuickStores-Toolbar 1.1.0 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; SetServiceStart('{515b2035-50d0-4637-9844-474cbc071f0a}t', 4); SetServiceStart('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t', 4); StopService('{515b2035-50d0-4637-9844-474cbc071f0a}t'); StopService('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t'); QuarantineFile('C:\Program Files\Google\chrome.bat',''); QuarantineFile('C:\IEXPLORE.bat',''); QuarantineFile('C:\windows\system32\drivers\ccnfd_1_10_0_4.sys',''); QuarantineFile('C:\windows\system32\drivers\{f9db60fb-a85d-4a71-beb8-295c3a5b3a44}t.sys',''); QuarantineFile('C:\windows\system32\drivers\{515b2035-50d0-4637-9844-474cbc071f0a}t.sys',''); QuarantineFile('C:\windows\system32\drivers\{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t.sys',''); DeleteFile('C:\windows\system32\drivers\{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t.sys','32'); DeleteFile('C:\windows\system32\drivers\{515b2035-50d0-4637-9844-474cbc071f0a}t.sys','32'); DeleteFile('C:\windows\system32\drivers\{f9db60fb-a85d-4a71-beb8-295c3a5b3a44}t.sys','32'); DeleteFile('C:\windows\system32\drivers\ccnfd_1_10_0_4.sys','32'); DeleteFile('C:\IEXPLORE.bat','32'); DeleteFile('C:\Program Files\Google\chrome.bat','32'); DeleteFile('C:\windows\Tasks\62546d33-5890-4971-bd9a-74b224d86d9f-11.job','32'); DeleteFile('C:\windows\Tasks\ShopperPro.job','32'); DeleteFile('C:\windows\Tasks\ShopperProJSUpd.job','32'); DeleteService('ccnfd_1_10_0_4'); DeleteService('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t'); DeleteService('{515b2035-50d0-4637-9844-474cbc071f0a}t'); DeleteService('servervo'); DeleteService('Rerun service for Torrent Search'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(2); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd5c1a0ae505bb7ce7efc04f26234f98&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd5c1a0ae505bb7ce7efc04f26234f98&text= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: ShopperProBHO - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. В следующем вашем ответе мне требуются следующие отчеты: 1. CollectionLog-yyyy.mm.dd-hh.mm.zip 2. ClearLNK-<Дата>.log 3. AdwCleaner[R0].txt Цитата Ссылка на сообщение Поделиться на другие сайты
STiLLeN 0 Опубликовано 12 февраля, 2015 Автор Share Опубликовано 12 февраля, 2015 Логи Все сделал как вы сказали, а также карантин отправил. KLAN-2508239719 ClearLNK-12.02.2015_02-38.log AdwCleanerR1.txt CollectionLog-2015.02.12-02.59.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 12 февраля, 2015 Share Опубликовано 12 февраля, 2015 удалите всё найденное в AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 новый лог приложите. вручную удалите: 2015-02-02 16:32:24 ----H---- C:\Program Files\puntо.bаt.exe 2015-02-02 16:32:23 ----H---- C:\Program Files\punto.bat 2015-02-02 16:30:38 ----H---- C:\оpеrа.bаt.exe 2015-02-02 16:30:38 ----H---- C:\opera.bat новый лог автологгера приложите Цитата Ссылка на сообщение Поделиться на другие сайты
STiLLeN 0 Опубликовано 12 февраля, 2015 Автор Share Опубликовано 12 февраля, 2015 Сделано Зашифрованный mp3 файл, пароль на архив virus На всякий случай лог HijackThis Логи FRST AdwCleanerR3.txt CollectionLog-2015.02.12-18.15.zip hijackthis.log Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 12 февраля, 2015 Share Опубликовано 12 февраля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKLM\...\Chrome\Extension: [mffaiffbfnpaalibenmemffgmppndafp] - C:\Documents and Settings\Admin\Application Data\Crx\Files\mffaiffbfnpaalibenmemffgmppndafp_0.2.4.crx [2014-07-05] OPR Extension: (Универсальный перевод для Chrome) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\fjnbnpbmkenffdnngjfgmeleoegfcffe [2015-02-02] OPR Extension: (No Name) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-02-03] OPR Extension: (No Name) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\iphpmnjjkbneokidkdkcdfhlhlimhnfj [2015-02-02] 2015-02-07 18:05 - 2015-02-11 02:24 - 00000000 __SHD () C:\Documents and Settings\All Users\Application Data\Windows 2015-02-04 20:04 - 2015-02-11 21:58 - 00000000 _____ () C:\Documents and Settings\Admin\Application Data\smw_inst 2015-02-02 16:37 - 2015-02-05 19:22 - 00000008 __RSH () C:\Documents and Settings\All Users\ntuser.pol 2015-02-02 16:35 - 2014-07-22 14:00 - 00876328 ____H (Yandex LLC) C:\Documents and Settings\Admin\Local Settings\Application Data\ВrоwsеrМаnаgеr.bаt.exe 2015-02-02 16:34 - 2015-02-02 16:34 - 00000167 ____H () C:\Documents and Settings\Admin\Local Settings\Application Data\BrowserManager.bat 2015-02-02 15:49 - 2015-02-02 15:49 - 00000000 ____D () C:\Documents and Settings\Admin\Local Settings\Application Data\Поиcк в Интeрнете 2015-02-02 15:46 - 2015-02-02 15:49 - 00000211 _____ () C:\Documents and Settings\Admin\Рабочий стол\Искать в Интернете.url 2010-05-10 11:40 - 2010-05-10 11:40 - 0200704 _____ (JetSwap) C:\Program Files\Common Files\safesurf.exe C:\Documents and Settings\Admin\Local Settings\Temp\eTkkzllnOX9F.exe C:\Documents and Settings\Admin\Local Settings\Temp\fo-e621.exe C:\Documents and Settings\Admin\Local Settings\Temp\FtV2oIcNRkoR.exe C:\Documents and Settings\Admin\Local Settings\Temp\H0SCqJg8A1qs.exe C:\Documents and Settings\Admin\Local Settings\Temp\Hu7rcwsT4yH2.exe C:\Documents and Settings\Admin\Local Settings\Temp\ifufErQeafPb.exe C:\Documents and Settings\Admin\Local Settings\Temp\iYe39fWIWBK6.exe C:\Documents and Settings\Admin\Local Settings\Temp\kx74se0hBI9H.exe C:\Documents and Settings\Admin\Local Settings\Temp\KZSQeBO8lBFr.exe C:\Documents and Settings\Admin\Local Settings\Temp\lobr11jTQlmH.exe C:\Documents and Settings\Admin\Local Settings\Temp\onnuVQF21cbp.exe C:\Documents and Settings\Admin\Local Settings\Temp\OpvUqIyMAe13.exe C:\Documents and Settings\Admin\Local Settings\Temp\QoqPTNCW9Ea3.exe C:\Documents and Settings\Admin\Local Settings\Temp\rsIEa0dRD89q.exe C:\Documents and Settings\Admin\Local Settings\Temp\setup.exe C:\Documents and Settings\Admin\Local Settings\Temp\tM7SFIDGuDoL.exe C:\Documents and Settings\Admin\Local Settings\Temp\Uik94kiGixqV.exe C:\Documents and Settings\Admin\Local Settings\Temp\uMnQGjb9iZbj.exe C:\Documents and Settings\Admin\Local Settings\Temp\vNTuvQRJ1SV6.exe C:\Documents and Settings\Admin\Local Settings\Temp\vVVQYQYl1Lcn.exe C:\Documents and Settings\Admin\Local Settings\Temp\WC0E4ndbZnpF.exe C:\Documents and Settings\Admin\Local Settings\Temp\XTBevQmVzIjb.exe C:\Documents and Settings\Admin\Local Settings\Temp\Z0Ovr2D3aZId.exe C:\Documents and Settings\Admin\Local Settings\Temp\zt0t6XxquNjs.exe AlternateDataStreams: C:\Documents and Settings\Admin\Local Settings:init AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51 Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
STiLLeN 0 Опубликовано 12 февраля, 2015 Автор Share Опубликовано 12 февраля, 2015 Лог Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 13 февраля, 2015 Share Опубликовано 13 февраля, 2015 Логи в порядке. С расшифровкой помочь не сможем. Цитата Ссылка на сообщение Поделиться на другие сайты
ms_gor 0 Опубликовано 18 февраля, 2015 Share Опубликовано 18 февраля, 2015 спасибо )) жалко конечно ((( Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.