Dan4iks 0 Опубликовано 17 февраля, 2015 Share Опубликовано 17 февраля, 2015 Здравствуйте. Проник вирус и зашифровал файлы в расширение .xtbl (Как только заметил - отключил автозапуск всех программ кроме антивируса) Далее зашифровка не пошла. На рабочем столе появились текстовые файлы "README1(2,3.....)" В которых написано ... "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 90C93E64F2F1CA26C56A|0 на электронный адрес deshifrator01@gmail.com или deshifrovka@india.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 90C93E64F2F1CA26C56A|0 to e-mail address deshifrator01@gmail.com or deshifrovka@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data." После отправки на этот маил - пришёл ответ с суммой - 5000 рублей. В итоге - зашифровались фотографии ну и вообщем маловесящие файлы.... Все игры - программы функционируют.... почти. Зашифровка пошла, вроде как, после скачки и установки игры "Mafia II" Прошу выслать мне рекомендации.... И, желательно, программу для расшифровки файлов.... Там всё таки фото, игры, и т.д Заранее спасибо. CollectionLog-2015.02.17-12.51.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 17 февраля, 2015 Share Опубликовано 17 февраля, 2015 Логи переделайте без запущенного Cureit и KVRT. Ссылка на сообщение Поделиться на другие сайты
Dan4iks 0 Опубликовано 17 февраля, 2015 Автор Share Опубликовано 17 февраля, 2015 Хорошо. Подождите минутку... Просто KVRT ещё не завершил работу. Переделал логи: CollectionLog-2015.02.17-14.34.zip Ссылка на сообщение Поделиться на другие сайты
mike 1 1 044 Опубликовано 17 февраля, 2015 Share Опубликовано 17 февраля, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; TerminateProcessByName('c:\users\boss\appdata\roaming\nssm.exe'); QuarantineFile('C:\Users\boss\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll',''); QuarantineFile('C:\Users\boss\appdata\roaming\x11\engine.exe',''); QuarantineFile('C:\ProgramData\Microsoft\Media Player\Update Center\mediaplayerupdater.exe',''); QuarantineFile('C:\Users\boss\AppData\Local\Microsoft\Extensions\extsetup.exe',''); QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\boss\AppData\Roaming\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Users\boss\AppData\Roaming\cppredistx86.exe',''); QuarantineFile('C:\Users\boss\AppData\Local\Microsoft\Extensions\safebrowser.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); QuarantineFile('c:\users\boss\appdata\roaming\nssm.exe',''); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\Users\boss\AppData\Local\Microsoft\Extensions\safebrowser.exe','32'); DeleteFile('C:\Users\boss\AppData\Roaming\cppredistx86.exe','32'); DeleteFile('C:\Users\boss\AppData\Roaming\eTranslator\eTranslator.exe','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Popup','64'); DeleteFile('C:\Windows\system32\Tasks\DoctorPC_Start','64'); DeleteFile('C:\Windows\system32\Tasks\extsetup','64'); DeleteFile('C:\Users\boss\AppData\Local\Microsoft\Extensions\extsetup.exe','32'); DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64'); DeleteFile('C:\Windows\system32\Tasks\Kbupdater Utility','64'); DeleteFile('C:\Windows\system32\Tasks\LaunchSignup','64'); DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64'); DeleteFile('C:\Users\boss\appdata\roaming\x11\engine.exe','32'); DeleteFile('C:\Users\boss\appdata\roaming\opera software\opera stable\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command'); DeleteFileMask('C:\Users\boss\appdata\roaming\x11', '*', true, ' '); DeleteDirectory('C:\Users\boss\appdata\roaming\x11'); DeleteFileMask('C:\Users\boss\AppData\Local\Microsoft\Extensions', '*', true, ' '); DeleteDirectory('C:\Users\boss\AppData\Local\Microsoft\Extensions'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421074582&from=cor&uid=ST320LT020-9YG142_W048KXXYXXXXW048KXXY R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0bd06351e3e5443651a43fc5e6d9e130&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0bd06351e3e5443651a43fc5e6d9e130&text={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421074582&from=cor&uid=ST320LT020-9YG142_W048KXXYXXXXW048KXXY R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421074582&from=cor&uid=ST320LT020-9YG142_W048KXXYXXXXW048KXXY R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0bd06351e3e5443651a43fc5e6d9e130&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0bd06351e3e5443651a43fc5e6d9e130&text= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll (file missing) O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O4 - Startup: Safebrowser.lnk = C:\Users\boss\AppData\Local\Microsoft\Extensions\safebrowser.exe O4 - Global Startup: Kbupdater Utility.lnk = C:\ProgramData\Kbupdater Utility\kbupdater-utility.exe O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0bd06351e3e5443651a43fc5e6d9e130&text= Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки Автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. В следующем вашем ответе мне требуются следующие отчеты: 1. CollectionLog-yyyy.mm.dd-hh.mm.zip 2. ClearLNK-<Дата>.log 3. AdwCleaner[R0].txt Ссылка на сообщение Поделиться на другие сайты
Dan4iks 0 Опубликовано 20 февраля, 2015 Автор Share Опубликовано 20 февраля, 2015 KLAN-2530401345 hijackthis.log ClearLNK-20.02.2015_11-26.log CollectionLog-2015.02.20-12.09.zip AdwCleanerR0.txt Ссылка на сообщение Поделиться на другие сайты
Roman_Five 489 Опубликовано 20 февраля, 2015 Share Опубликовано 20 февраля, 2015 повторите фикс в Hijackthis: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421074582&from=cor&uid=ST320LT020-9YG142_W048KXXYXXXXW048KXXY R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421074582&from=cor&uid=ST320LT020-9YG142_W048KXXYXXXXW048KXXY R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0bd06351e3e5443651a43fc5e6d9e130&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0bd06351e3e5443651a43fc5e6d9e130&text= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888 O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=0bd06351e3e5443651a43fc5e6d9e130&text= Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SetServiceStart('{bcaab8ad-c85a-4df0-833c-bb1e038f56cc}Gw64', 4); QuarantineFile('C:\Program Files (x86)\Internet Explorer\alitab.dll', ''); QuarantineFile('C:\Program Files (x86)\XTab\*', ''); QuarantineFile('C:\Users\boss\AppData\Roaming\nssm.exe', ''); QuarantineFile('C:\ProgramData\Microsoft\Media Player\Update Center\mediaplayerupdater.exe', ''); QuarantineFile('C:\ProgramData\WindowsMangerPro\*', ''); QuarantineFile('C:\Windows\system32\drivers\wpnfd_1_10_0_6.sys', ''); QuarantineFile('C:\Windows\system32\drivers\{bcaab8ad-c85a-4df0-833c-bb1e038f56cc}Gw64.sys', ''); DeleteFile('C:\Windows\system32\drivers\{bcaab8ad-c85a-4df0-833c-bb1e038f56cc}Gw64.sys', '32'); DeleteFileMask('C:\ProgramData\WindowsMangerPro\', '*', true, ''); DeleteDirectory('C:\ProgramData\WindowsMangerPro\ ',' '); DeleteFile('C:\ProgramData\Microsoft\Media Player\Update Center\mediaplayerupdater.exe', '32'); DeleteFileMask('C:\Program Files (x86)\XTab\', '*', true, ''); DeleteDirectory('C:\Program Files (x86)\XTab\',' '); DeleteFile('C:\Program Files (x86)\Internet Explorer\alitab.dll', '32'); DeleteFile('C:\Windows\system32\Tasks\Media Player Updater', '64'); DeleteService('{bcaab8ad-c85a-4df0-833c-bb1e038f56cc}Gw64'); DelBHO('E4E012DC-1925-48E9-8010-2D195574642A'); DelBHO('3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Media Player Updater', 'command'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. удалите всё найденное в AdwCleaner http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 Сделайте новые логи по правилам. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти