STiLLeN Опубликовано 11 февраля, 2015 Share Опубликовано 11 февраля, 2015 Добрый вечер, такая ситуация: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 0273374CB15C7D34CB92|0 на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 0273374CB15C7D34CB92|0 to e-mail address deshifrator01@gmail.com or deshifrovka@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. Логи:CollectionLog-2015.02.11-23.04.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 11 февраля, 2015 Share Опубликовано 11 февраля, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Деинсталлируйте: FlvPlayer QuickStores-Toolbar 1.1.0 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; SetServiceStart('{515b2035-50d0-4637-9844-474cbc071f0a}t', 4); SetServiceStart('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t', 4); StopService('{515b2035-50d0-4637-9844-474cbc071f0a}t'); StopService('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t'); QuarantineFile('C:\Program Files\Google\chrome.bat',''); QuarantineFile('C:\IEXPLORE.bat',''); QuarantineFile('C:\windows\system32\drivers\ccnfd_1_10_0_4.sys',''); QuarantineFile('C:\windows\system32\drivers\{f9db60fb-a85d-4a71-beb8-295c3a5b3a44}t.sys',''); QuarantineFile('C:\windows\system32\drivers\{515b2035-50d0-4637-9844-474cbc071f0a}t.sys',''); QuarantineFile('C:\windows\system32\drivers\{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t.sys',''); DeleteFile('C:\windows\system32\drivers\{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t.sys','32'); DeleteFile('C:\windows\system32\drivers\{515b2035-50d0-4637-9844-474cbc071f0a}t.sys','32'); DeleteFile('C:\windows\system32\drivers\{f9db60fb-a85d-4a71-beb8-295c3a5b3a44}t.sys','32'); DeleteFile('C:\windows\system32\drivers\ccnfd_1_10_0_4.sys','32'); DeleteFile('C:\IEXPLORE.bat','32'); DeleteFile('C:\Program Files\Google\chrome.bat','32'); DeleteFile('C:\windows\Tasks\62546d33-5890-4971-bd9a-74b224d86d9f-11.job','32'); DeleteFile('C:\windows\Tasks\ShopperPro.job','32'); DeleteFile('C:\windows\Tasks\ShopperProJSUpd.job','32'); DeleteService('ccnfd_1_10_0_4'); DeleteService('{0eb974d0-3308-42ea-8fbd-8e5d68a0ebb9}t'); DeleteService('{515b2035-50d0-4637-9844-474cbc071f0a}t'); DeleteService('servervo'); DeleteService('Rerun service for Torrent Search'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(2); RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd5c1a0ae505bb7ce7efc04f26234f98&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd5c1a0ae505bb7ce7efc04f26234f98&text= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: ShopperProBHO - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. В следующем вашем ответе мне требуются следующие отчеты: 1. CollectionLog-yyyy.mm.dd-hh.mm.zip 2. ClearLNK-<Дата>.log 3. AdwCleaner[R0].txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
STiLLeN Опубликовано 12 февраля, 2015 Автор Share Опубликовано 12 февраля, 2015 Логи Все сделал как вы сказали, а также карантин отправил. KLAN-2508239719 ClearLNK-12.02.2015_02-38.log AdwCleanerR1.txt CollectionLog-2015.02.12-02.59.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 12 февраля, 2015 Share Опубликовано 12 февраля, 2015 удалите всё найденное в AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 новый лог приложите. вручную удалите: 2015-02-02 16:32:24 ----H---- C:\Program Files\puntо.bаt.exe 2015-02-02 16:32:23 ----H---- C:\Program Files\punto.bat 2015-02-02 16:30:38 ----H---- C:\оpеrа.bаt.exe 2015-02-02 16:30:38 ----H---- C:\opera.bat новый лог автологгера приложите Ссылка на комментарий Поделиться на другие сайты More sharing options...
STiLLeN Опубликовано 12 февраля, 2015 Автор Share Опубликовано 12 февраля, 2015 Сделано Зашифрованный mp3 файл, пароль на архив virus На всякий случай лог HijackThis Логи FRST AdwCleanerR3.txt CollectionLog-2015.02.12-18.15.zip hijackthis.log Addition.txt FRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 12 февраля, 2015 Share Опубликовано 12 февраля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKLM\...\Chrome\Extension: [mffaiffbfnpaalibenmemffgmppndafp] - C:\Documents and Settings\Admin\Application Data\Crx\Files\mffaiffbfnpaalibenmemffgmppndafp_0.2.4.crx [2014-07-05] OPR Extension: (Универсальный перевод для Chrome) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\fjnbnpbmkenffdnngjfgmeleoegfcffe [2015-02-02] OPR Extension: (No Name) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\fneleoohaagcejefkfmanhhdoboipapk [2015-02-03] OPR Extension: (No Name) - C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\iphpmnjjkbneokidkdkcdfhlhlimhnfj [2015-02-02] 2015-02-07 18:05 - 2015-02-11 02:24 - 00000000 __SHD () C:\Documents and Settings\All Users\Application Data\Windows 2015-02-04 20:04 - 2015-02-11 21:58 - 00000000 _____ () C:\Documents and Settings\Admin\Application Data\smw_inst 2015-02-02 16:37 - 2015-02-05 19:22 - 00000008 __RSH () C:\Documents and Settings\All Users\ntuser.pol 2015-02-02 16:35 - 2014-07-22 14:00 - 00876328 ____H (Yandex LLC) C:\Documents and Settings\Admin\Local Settings\Application Data\ВrоwsеrМаnаgеr.bаt.exe 2015-02-02 16:34 - 2015-02-02 16:34 - 00000167 ____H () C:\Documents and Settings\Admin\Local Settings\Application Data\BrowserManager.bat 2015-02-02 15:49 - 2015-02-02 15:49 - 00000000 ____D () C:\Documents and Settings\Admin\Local Settings\Application Data\Поиcк в Интeрнете 2015-02-02 15:46 - 2015-02-02 15:49 - 00000211 _____ () C:\Documents and Settings\Admin\Рабочий стол\Искать в Интернете.url 2010-05-10 11:40 - 2010-05-10 11:40 - 0200704 _____ (JetSwap) C:\Program Files\Common Files\safesurf.exe C:\Documents and Settings\Admin\Local Settings\Temp\eTkkzllnOX9F.exe C:\Documents and Settings\Admin\Local Settings\Temp\fo-e621.exe C:\Documents and Settings\Admin\Local Settings\Temp\FtV2oIcNRkoR.exe C:\Documents and Settings\Admin\Local Settings\Temp\H0SCqJg8A1qs.exe C:\Documents and Settings\Admin\Local Settings\Temp\Hu7rcwsT4yH2.exe C:\Documents and Settings\Admin\Local Settings\Temp\ifufErQeafPb.exe C:\Documents and Settings\Admin\Local Settings\Temp\iYe39fWIWBK6.exe C:\Documents and Settings\Admin\Local Settings\Temp\kx74se0hBI9H.exe C:\Documents and Settings\Admin\Local Settings\Temp\KZSQeBO8lBFr.exe C:\Documents and Settings\Admin\Local Settings\Temp\lobr11jTQlmH.exe C:\Documents and Settings\Admin\Local Settings\Temp\onnuVQF21cbp.exe C:\Documents and Settings\Admin\Local Settings\Temp\OpvUqIyMAe13.exe C:\Documents and Settings\Admin\Local Settings\Temp\QoqPTNCW9Ea3.exe C:\Documents and Settings\Admin\Local Settings\Temp\rsIEa0dRD89q.exe C:\Documents and Settings\Admin\Local Settings\Temp\setup.exe C:\Documents and Settings\Admin\Local Settings\Temp\tM7SFIDGuDoL.exe C:\Documents and Settings\Admin\Local Settings\Temp\Uik94kiGixqV.exe C:\Documents and Settings\Admin\Local Settings\Temp\uMnQGjb9iZbj.exe C:\Documents and Settings\Admin\Local Settings\Temp\vNTuvQRJ1SV6.exe C:\Documents and Settings\Admin\Local Settings\Temp\vVVQYQYl1Lcn.exe C:\Documents and Settings\Admin\Local Settings\Temp\WC0E4ndbZnpF.exe C:\Documents and Settings\Admin\Local Settings\Temp\XTBevQmVzIjb.exe C:\Documents and Settings\Admin\Local Settings\Temp\Z0Ovr2D3aZId.exe C:\Documents and Settings\Admin\Local Settings\Temp\zt0t6XxquNjs.exe AlternateDataStreams: C:\Documents and Settings\Admin\Local Settings:init AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:07BF512B AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:1CE11B51 Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
STiLLeN Опубликовано 12 февраля, 2015 Автор Share Опубликовано 12 февраля, 2015 Лог Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 13 февраля, 2015 Share Опубликовано 13 февраля, 2015 Логи в порядке. С расшифровкой помочь не сможем. Ссылка на комментарий Поделиться на другие сайты More sharing options...
ms_gor Опубликовано 18 февраля, 2015 Share Опубликовано 18 февраля, 2015 спасибо )) жалко конечно ((( Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти