Сергей Витальевич 0 Опубликовано 27 февраля, 2015 Share Опубликовано 27 февраля, 2015 Здравствуте.подскожите,что нужно делать. Зашифровались все важные для меня файлы на всех трёх винчестерах компьютера, а именно фото, видео, картинки, видео и прочее.. На рабочем столе вместо фонового рисунка на чёрном фоне красными буквами: Внимание !все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков А все файлы зашифровались в белиберду с расширением.xtbl, В многочисленных текстовиках созданных вирусом пишется вот это: Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:AC1414DD234EDCDCD2DA|0на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Я не сильно понимаю в п.к. почитал на форуме,и нашёл эдэнтичную проблему.надеюсь Вы мне поможете. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 27 февраля, 2015 Share Опубликовано 27 февраля, 2015 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Витальевич 0 Опубликовано 27 февраля, 2015 Автор Share Опубликовано 27 февраля, 2015 Если я что-то не так сделал-написал,то извините.я не сижу на форумах-а тут токая беда )).пожалуйста не бросайтесь сухими фразами,и не ругайте сильно.объясните,я попробую понять Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 27 февраля, 2015 Share Опубликовано 27 февраля, 2015 @Сергей Витальевич, читайте внимательно и выполняйте https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Витальевич 0 Опубликовано 27 февраля, 2015 Автор Share Опубликовано 27 февраля, 2015 и как ё-маё мне прикрепить архив CollectionLog-2015.02.27-18.10 будь он неладен. я же говорю не шарю особо в п.к. Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 27 февраля, 2015 Share Опубликовано 27 февраля, 2015 @Сергей Витальевич, справа внизу есть кнопка "Расширенная форма", нажмёте, откроется новое окно, там увидите "Прикрепить файлы" Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Витальевич 0 Опубликовано 27 февраля, 2015 Автор Share Опубликовано 27 февраля, 2015 прикрепил.но не вижу куда загружается((.спасибо Вам за терпение. в редактировании своей анкеты файл есть,типа отправлен.а в теме не вижу ( кто то даже скачал 3 раза такое долгое молчание,надеюсь я всё правильно сделал.и ответ будет,какой нибудь ))( Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 27 февраля, 2015 Share Опубликовано 27 февраля, 2015 Не вижу архива с логами. Попробуйте загрузить его еще раз. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Витальевич 0 Опубликовано 28 февраля, 2015 Автор Share Опубликовано 28 февраля, 2015 Не вижу архива с логами. Попробуйте загрузить его еще раз. Спасибо,попозже буду дома буду въезшать как делать все эти архивы.одной рукой не сильно удобно писать,было бы удобней по скайпу.но. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Витальевич 0 Опубликовано 28 февраля, 2015 Автор Share Опубликовано 28 февраля, 2015 Не вижу архива с логами. Попробуйте загрузить его еще раз. Спасибо,попозже буду дома буду въезшать как делать все эти архивы.одной рукой не сильно удобно писать,было бы удобней по скайпу.но. Не вижу архива с логами. Попробуйте загрузить его еще раз. Спасибо,попозже буду дома буду въезшать как делать все эти архивы.одной рукой не сильно удобно писать,было бы удобней по скайпу.но. CollectionLog-2015.02.27-18.10.zip report1.log report2.log CollectionLog-2015.02.27-17.45.zip 1.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 февраля, 2015 Share Опубликовано 28 февраля, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\СЕРГЕЙ\applic~1\digitalsites\updateproc\updatetask.exe',''); QuarantineFile('C:\Users\СЕРГЕЙ\appdata\roaming\digitalsites\updateproc\updatetask.exe',''); QuarantineFile('C:\Users\F99B~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE',''); TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\F99B~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\Digital Sites.job','32'); DeleteFile('C:\Windows\system32\Tasks\Digital Sites','32'); DeleteFile('C:\Users\СЕРГЕЙ\appdata\roaming\digitalsites\updateproc\updatetask.exe','32'); DeleteFile('C:\Users\СЕРГЕЙ\applic~1\digitalsites\updateproc\updatetask.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Витальевич 0 Опубликовано 28 февраля, 2015 Автор Share Опубликовано 28 февраля, 2015 Хотелось бы сразу сказать Вам спасибо за вашу помощь.и терпение(я особо не шарю во всякого рода антивирусных программ и сбора всяких логов) но стараюсь понять.Парни спасибо за вашу работу! это нужно скопировать и вставить? и как мне в (аvz) выполнять эти действия (( ? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 февраля, 2015 Share Опубликовано 28 февраля, 2015 http://forum.kasperskyclub.ru/index.php?showtopic=7607 Цитата Ссылка на сообщение Поделиться на другие сайты
Сергей Витальевич 0 Опубликовано 28 февраля, 2015 Автор Share Опубликовано 28 февраля, 2015 (изменено) вкурил таки-как)) в лабалаторию касперского тоже отправил Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2553017876] От кого: newvirus@kaspersky.com Кому: сегодня, 15:19 Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.csrss.exe - Backdoor.Win32.Androm.gjhoДетектирование файла будет добавлено в следующее обновление.С уважением, Лаборатория Касперского новые логи (AVZ) Addition.txt FRST.txt CollectionLog-2015.02.28-16.44.zip report1.log report2.log Изменено 28 февраля, 2015 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 февраля, 2015 Share Опубликовано 28 февраля, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKU\S-1-5-21-1364855901-553570502-3443546232-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aba3a6ff385e615f657456768108e641&text={searchTerms} HKU\S-1-5-21-1364855901-553570502-3443546232-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ru-ru/?pc=UP97&ocid=UP97DHP HKU\S-1-5-21-1364855901-553570502-3443546232-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aba3a6ff385e615f657456768108e641&text={searchTerms} URLSearchHook: [S-1-5-21-1364855901-553570502-3443546232-1000] ATTENTION ==> Default URLSearchHook is missing. URLSearchHook: HKU\S-1-5-21-1364855901-553570502-3443546232-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File SearchScopes: HKLM -> {3d29c02b-bf3e-4d3b-8a7a-e0e7d0f6dbab} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^Z7^xdm032^YYA^ru&si=CJfYu8-2qsMCFYkLcwodjZYAmw&ptb=069A6C70-C8D8-4FE5-8490-0663B6450EE4&psa=&ind=2015012310&st=sb&n=781aa5d6&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-1364855901-553570502-3443546232-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aba3a6ff385e615f657456768108e641&text={searchTerms} SearchScopes: HKU\S-1-5-21-1364855901-553570502-3443546232-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^Z7^xdm032^YYA^ru&si=CJfYu8-2qsMCFYkLcwodjZYAmw&ptb=069A6C70-C8D8-4FE5-8490-0663B6450EE4&psa=&ind=2015012310&st=sb&n=781aa5d6&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-1364855901-553570502-3443546232-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aba3a6ff385e615f657456768108e641&text={searchTerms} SearchScopes: HKU\S-1-5-21-1364855901-553570502-3443546232-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=aba3a6ff385e615f657456768108e641&text= BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File Toolbar: HKU\S-1-5-21-1364855901-553570502-3443546232-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1364855901-553570502-3443546232-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR Extension: (No Name) - C:\Users\СЕРГЕЙ\AppData\Local\Google\Chrome\User Data\Default\Extensions\bepbmhgboaologfdajaanbcjmnhjmhfn [2015-01-23] CHR Extension: (No Name) - C:\Users\СЕРГЕЙ\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh [2015-01-23] CHR Extension: (No Name) - C:\Users\СЕРГЕЙ\AppData\Local\Google\Chrome\User Data\Default\Extensions\gehngeifmelphpllncobkmimphfkckne [2015-01-23] CHR Extension: (No Name) - C:\Users\СЕРГЕЙ\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki [2015-01-23] CHR Extension: (No Name) - C:\Users\СЕРГЕЙ\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-01-23] CHR Extension: (No Name) - C:\Users\СЕРГЕЙ\AppData\Local\Google\Chrome\User Data\Default\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-02-24] CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx OPR Extension: (Универсальный перевод для Chrome) - C:\Users\СЕРГЕЙ\AppData\Roaming\Opera Software\Opera Stable\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-02-24] 2015-02-27 16:46 - 2015-02-27 16:46 - 11037211 _____ () C:\Users\СЕРГЕЙ\Downloads\A5F6.tmp 2015-02-24 19:11 - 2015-02-24 19:12 - 00000098 ____H () C:\iexplore.bat 2015-02-24 19:11 - 2015-02-24 19:12 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol 2015-02-24 19:11 - 2015-02-24 19:12 - 00000008 __RSH () C:\ProgramData\ntuser.pol 2015-02-24 19:11 - 2015-02-24 19:11 - 00673048 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe 2015-02-24 19:11 - 2015-02-24 19:11 - 00000040 _____ () C:\Windows\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys 2015-02-24 19:11 - 2015-02-24 19:11 - 00000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys C:\Users\СЕРГЕЙ\AppData\Local\Temp\libeay32.dll C:\Users\СЕРГЕЙ\AppData\Local\Temp\ssleay32.dll C:\Users\СЕРГЕЙ\AppData\Local\Temp\tmp3F61.exe C:\Users\СЕРГЕЙ\AppData\Local\Temp\tmp8D70.exe Task: {760F3743-55D2-48BE-9840-0547D63CA857} - \Digital Sites No Task File <==== ATTENTION Task: {D58085FE-7DA0-4E9B-A288-1BA0C22762C4} - No Task path AlternateDataStreams: C:\iехplоrе.bаt.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\ceutil.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\FlashPlayerApp.exe:$CmdTcID AlternateDataStreams: C:\Windows\system32\msvcr100.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\rapi.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\rapiproxystub.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\rapistub.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\wcescommproxy.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\wmcoinst-070531-0845.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\WpdMtp.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\WpdMtpUS.dll:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\browserMon.sys:$CmdTcID AlternateDataStreams: C:\Windows\system32\Drivers\winusb.sys:$CmdTcID AlternateDataStreams: C:\Users\СЕРГЕЙ\Desktop\dyPaQo7MOmIuKQDT1XP32g2sOxglE3WL7AjrqY330OIY3cCqe1lQeDDRlw96iM6Cx51G2kN0yWnz4EqbQIjRvYXaGhv35tVTJSEDRht-iIvxESjFgb8LtXyfbSLRT870.xtbl:$CmdZnID AlternateDataStreams: C:\Users\СЕРГЕЙ\Downloads\5zb6gx0c.exe:$CmdTcID AlternateDataStreams: C:\Users\СЕРГЕЙ\Downloads\5zb6gx0c.exe:$CmdZnID AlternateDataStreams: C:\Users\СЕРГЕЙ\Downloads\AutoLogger.zip:$CmdZnID AlternateDataStreams: C:\Users\СЕРГЕЙ\Downloads\cispremium_installer_x86.exe:$CmdZnID AlternateDataStreams: C:\Users\СЕРГЕЙ\Downloads\luLG155tmvvWZKvtjO5Hox0nZjqr6oiZti2o1fZhOFA=.xtbl:$CmdZnID AlternateDataStreams: C:\Users\СЕРГЕЙ\Downloads\MultiPackFull.exe:$CmdZnID AlternateDataStreams: C:\Users\СЕРГЕЙ\Documents\Z3abUUR5G3l+7e5uvhstXSDc4o7kSdPeuL2Zq4c1JyirQG3PzCMMTBhq+AXp9ThR6YsQAvFPWuzFoVL1rM-HfA==.xtbl:$CmdZnID Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.