ms_gor 0 Опубликовано 16 февраля, 2015 Share Опубликовано 16 февраля, 2015 добрый день, проник вирус зашифровал все файлы переделал формат в xtbl. присутствует текстовый документ вот содержание: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: B8389E900AA636BB2AC1|0 на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: B8389E900AA636BB2AC1|0 to e-mail address deshifrator01@gmail.com or deshifrovka@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. вот логи CollectionLog-2015.02.16-13.15.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 16 февраля, 2015 Share Опубликовано 16 февраля, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Деинсталлируйте: Currency calc mystartsearch uninstall SmartWeb WinZipper Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('i:\documents and settings\admin\application data\vopackage\vosrv.exe'); TerminateProcessByName('i:\program files\advplugin\basement\extensionupdaterservice.exe'); TerminateProcessByName('i:\program files\advplugin\backgroundsingleton.exe'); SetServiceStart('{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t', 4); SetServiceStart('{bcd08fc8-cb56-41a3-8b19-3c556687a504}t', 4); SetServiceStart('{6cfec6a5-9d93-4492-985a-470a68eff4e9}t', 4); SetServiceStart('{663d99d0-f31d-457e-980b-dc5daf227786}t', 4); SetServiceStart('{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t', 4); SetServiceStart('Update Service for advPlugin', 4); SetServiceStart('servervo', 4); StopService('{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t'); StopService('{bcd08fc8-cb56-41a3-8b19-3c556687a504}t'); StopService('{6cfec6a5-9d93-4492-985a-470a68eff4e9}t'); StopService('{663d99d0-f31d-457e-980b-dc5daf227786}t'); StopService('{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t'); StopService('Update Service for advPlugin'); StopService('servervo'); QuarantineFile('I:\Program Files\advPlugin\Toolbar32.dll',''); QuarantineFile('I:\Program Files\suptab\loader64.exe',''); QuarantineFile('I:\Program Files\suptab\loader32.exe',''); QuarantineFile('I:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\browser.bat',''); QuarantineFile('I:\windows\system32\drivers\{e5e8bd85-21de-4190-b364-33beb625e47f}t.sys',''); QuarantineFile('I:\windows\system32\drivers\{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t.sys',''); QuarantineFile('I:\windows\system32\drivers\{bcd08fc8-cb56-41a3-8b19-3c556687a504}t.sys',''); QuarantineFile('I:\windows\system32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys',''); QuarantineFile('I:\windows\system32\drivers\{663d99d0-f31d-457e-980b-dc5daf227786}t.sys',''); QuarantineFile('I:\windows\system32\drivers\{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t.sys',''); QuarantineFile('i:\documents and settings\admin\application data\vopackage\vosrv.exe',''); QuarantineFile('i:\program files\advplugin\basement\extensionupdaterservice.exe',''); QuarantineFile('i:\program files\advplugin\backgroundsingleton.exe',''); QuarantineFile('i:\windows\system32\nwprovau.dll',''); DeleteFile('i:\program files\advplugin\backgroundsingleton.exe','32'); DeleteFile('i:\program files\advplugin\basement\extensionupdaterservice.exe','32'); DeleteFile('i:\documents and settings\admin\application data\vopackage\vosrv.exe','32'); DeleteFile('I:\windows\system32\drivers\{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{663d99d0-f31d-457e-980b-dc5daf227786}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{6cfec6a5-9d93-4492-985a-470a68eff4e9}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{bcd08fc8-cb56-41a3-8b19-3c556687a504}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{e5e8bd85-21de-4190-b364-33beb625e47f}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{94538859-34de-4cd4-9dc6-aa29e98ff214}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt.sys','32'); DeleteFile('I:\windows\system32\drivers\{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t.sys','32'); DeleteFile('I:\windows\system32\drivers\{c89879cb-75b8-4cb6-bc13-07c704396fd0}t.sys','32'); DeleteFile('I:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Вoйти в Интeрнет 2inf.net.lnk','32'); DeleteFile('I:\Documents and Settings\Admin\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk','32'); DeleteFile('I:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\browser.bat','32'); DeleteFile('I:\windows\Tasks\APSnotifierPP1.job','32'); DeleteFile('I:\windows\Tasks\APSnotifierPP2.job','32'); DeleteFile('I:\windows\Tasks\APSnotifierPP3.job','32'); DeleteFile('I:\Program Files\suptab\loader32.exe','32'); DeleteFile('I:\Program Files\suptab\loader64.exe','32'); DeleteFile('I:\Program Files\advPlugin\Toolbar32.dll','32'); DeleteService('{c89879cb-75b8-4cb6-bc13-07c704396fd0}t'); DeleteService('{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}t'); DeleteService('{c5e48979-bd7f-4cf7-9b73-2482a67a4f37}Gt'); DeleteService('{94538859-34de-4cd4-9dc6-aa29e98ff214}t'); DeleteService('{1fe5a9eb-d0ad-44c6-8e0e-e079118db915}t'); DeleteService('{d8d78a9d-86d1-41f9-9ce3-85bbe0b8cce8}t'); DeleteService('{bcd08fc8-cb56-41a3-8b19-3c556687a504}t'); DeleteService('{6cfec6a5-9d93-4492-985a-470a68eff4e9}t'); DeleteService('{663d99d0-f31d-457e-980b-dc5daf227786}t'); DeleteService('{0e195523-6785-4f9c-bb2f-0a791b0c99d0}t'); DeleteService('Update Service for advPlugin'); DeleteService('servervo'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967&q={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414079934&from=sky&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414079934&from=sky&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967 Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. В следующем вашем ответе мне требуются следующие отчеты: 1. CollectionLog-yyyy.mm.dd-hh.mm.zip 2. ClearLNK-<Дата>.log 3. AdwCleaner[R0].txt Цитата Ссылка на сообщение Поделиться на другие сайты
ms_gor 0 Опубликовано 17 февраля, 2015 Автор Share Опубликовано 17 февраля, 2015 Отчеты по запросу! CollectionLog-2015.02.17-12.17.zip AdwCleanerR0.txt ClearLNK-17.02.2015_12-04.log Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 февраля, 2015 Share Опубликовано 17 февраля, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. Цитата Ссылка на сообщение Поделиться на другие сайты
ms_gor 0 Опубликовано 17 февраля, 2015 Автор Share Опубликовано 17 февраля, 2015 Отчет удаления AdwCleanerR1.txt AdwCleanerS1.txt AdwCleanerS0.txt AdwCleanerR0.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 февраля, 2015 Share Опубликовано 17 февраля, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
ms_gor 0 Опубликовано 17 февраля, 2015 Автор Share Опубликовано 17 февраля, 2015 отчет FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 17 февраля, 2015 Share Опубликовано 17 февраля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-1957994488-1645522239-1417001333-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION AutoConfigURL: [HKLM] => http://finalac.com/55kNY/k5bJw82.roc AutoConfigURL: [S-1-5-21-1957994488-1645522239-1417001333-1004] => http://finalac.com/55kNY/k5bJw82.roc Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1419689576&from=wpm12233&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EHS9496794967 CHR RestoreOnStartup: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com" CHR StartupUrls: Default -> "hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=643_pr__alt__ddc_dsssyc_bd_com" CHR Extension: (Домашняя страница Mail.Ru) - I:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdknicmnhbaajdglbinpahhapghpakch [2014-12-07] CHR Extension: (Стартовая — Яндекс) - I:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi [2014-11-11] CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - No Path CHR HKLM\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - No Path CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path CHR HKLM\...\Chrome\Extension: [ifpjamfehjeobjanpappgckkmnhjnpgi] - I:\Documents and Settings\Admin\Application Data\Crx\Files\ifpjamfehjeobjanpappgckkmnhjnpgi_0.1.3.5.crx [2014-07-17] CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - No Path CHR HKLM\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - No Path CHR HKLM\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - No Path CHR HKLM\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - No Path OPR Extension: (Переводчик для Chrome 2) - I:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Extensions\djflhoibgkdhkhhcedjiklpkjnoahfmg [2014-10-16] 2015-02-05 00:19 - 2015-02-06 22:30 - 00000000 __SHD () I:\Documents and Settings\All Users\Application Data\Windows Folder: I:\windows\AppUpdate 2015-02-11 15:09 - 2014-09-02 23:17 - 00000904 __RSH () I:\Documents and Settings\All Users\ntuser.pol 2014-11-08 22:59 - 2015-02-04 21:56 - 0000092 _____ () I:\Documents and Settings\Admin\Application Data\WB.CFG 2014-09-02 22:59 - 2014-09-02 22:59 - 0000157 ____H () I:\Documents and Settings\Admin\Local Settings\Application Data\amigo.bat 2014-10-06 21:29 - 2014-10-06 21:28 - 0612080 _____ (ClickMeIn Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsd177.tmp 2014-10-09 23:17 - 2014-10-09 23:17 - 0612067 _____ (CMI Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsj35.tmp 2014-09-02 23:48 - 2014-09-02 23:48 - 0575544 _____ (ClickMeIn Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsn2E1.tmp 2014-09-03 00:15 - 2014-09-03 00:15 - 0631728 _____ (ClickMeIn Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsn35E.tmp 2014-09-08 20:07 - 2014-09-08 20:07 - 0617277 _____ (ClickMeIn Limited) I:\Documents and Settings\Admin\Local Settings\Application Data\nsoD0.tmp 2014-09-02 22:59 - 2014-09-02 22:59 - 0000154 ____H () I:\Documents and Settings\Admin\Local Settings\Application Data\ok.bat 2014-09-02 22:59 - 2014-09-02 22:59 - 0000154 ____H () I:\Documents and Settings\Admin\Local Settings\Application Data\vk.bat I:\Documents and Settings\Admin\removeSAddons.bat Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Смените все пароли. Сделайте новые логи Farbar. Цитата Ссылка на сообщение Поделиться на другие сайты
ms_gor 0 Опубликовано 18 февраля, 2015 Автор Share Опубликовано 18 февраля, 2015 отчет Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 18 февраля, 2015 Share Опубликовано 18 февраля, 2015 (изменено) Сделайте новые логи Farbar. + Проверьте эти файлы на virustotal I:\windows\AppUpdate\waitfor.exe I:\windows\AppUpdate\wget.exe кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. Изменено 18 февраля, 2015 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
ms_gor 0 Опубликовано 18 февраля, 2015 Автор Share Опубликовано 18 февраля, 2015 I:\windows\AppUpdate\waitfor.exe https://www.virustotal.com/ru/file/c3370e8ec5ca54e8fd7eac19c278689cf122edac91faa4376dc24b1d807fe510/analysis/1424261362/ I:\windows\AppUpdate\wget.exe https://www.virustotal.com/ru/file/248e84e994a3aa6c8a1ae4a71a701e862900cc8491243bd4497502cc3b2c74f7/analysis/1424261440/ как сделать логи Farbar??? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 18 февраля, 2015 Share Опубликовано 18 февраля, 2015 Еще раз запустите FRST Цитата Ссылка на сообщение Поделиться на другие сайты
ms_gor 0 Опубликовано 18 февраля, 2015 Автор Share Опубликовано 18 февраля, 2015 логи FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
solnisko7 0 Опубликовано 18 февраля, 2015 Share Опубликовано 18 февраля, 2015 Такая же ситуация тольrо не просили ничего отсылать. Вышла ошибка про проводник в результате все файлы в формате xtbl. Подскажите как быть? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 18 февраля, 2015 Share Опубликовано 18 февраля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: 2014-10-16 20:02 - 2014-10-16 20:02 - 0000001 _____ () I:\Documents and Settings\Admin\Application Data\smw_inst Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Такая же ситуация тольrо не просили ничего отсылать. Вышла ошибка про проводник в результате все файлы в формате xtbl. Подскажите как быть? Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.