Марат87 0 Опубликовано 9 марта, 2015 Share Опубликовано 9 марта, 2015 Зашифровались файлы. Буквально в течении получаса, вирус дошифровал и на рабочем столе появилась надпись на черном фоне, про то, что все важные файл зашифрованы и т.д. Пожалуйста помогите решить проблему.Я проверил антивирусом что-то вроде находил.Наткнулся на вас.Пожалуйста помогите так как моём компьютере были все видео-воспоминания,которые мне очень важны. CollectionLog-2015.03.09-22.27.zip CollectionLog-2015.03.09-22.27.zip CollectionLog-2015.03.09-22.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 9 марта, 2015 Share Опубликовано 9 марта, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\1\AppData\Roaming\eTranslator\eTranslator.exe',''); QuarantineFile('C:\Users\1\AppData\Roaming\DA6F91A5\bin.exe',''); QuarantineFile('C:\Users\1\AppData\Local\wincheck\wincheck.exe',''); QuarantineFile('C:\Users\1\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); SetServiceStart('serveras', 4); DeleteService('serveras'); TerminateProcessByName('c:\users\1\appdata\roaming\aspackage\assrv.exe'); QuarantineFile('c:\users\1\appdata\roaming\aspackage\assrv.exe',''); DeleteFile('c:\users\1\appdata\roaming\aspackage\assrv.exe','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\Users\1\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\1\AppData\Local\wincheck\wincheck.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\DA6F91A5\bin.exe','32'); DeleteFile('C:\Users\1\AppData\Roaming\eTranslator\eTranslator.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Update','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DA6F91A5','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck','command'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Windows\Tasks\RegTask.job','64'); DeleteFile('C:\Windows\system32\Tasks\RegTask','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Марат87 0 Опубликовано 10 марта, 2015 Автор Share Опубликовано 10 марта, 2015 Спасибо за помощь ! А как расшифровать эти файлы? ClearLNK-10.03.2015_08-55.log Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 марта, 2015 Share Опубликовано 10 марта, 2015 отчет (FRST.txt) не приложили. Цитата Ссылка на сообщение Поделиться на другие сайты
Марат87 0 Опубликовано 10 марта, 2015 Автор Share Опубликовано 10 марта, 2015 Извиняюсь! FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 10 марта, 2015 Share Опубликовано 10 марта, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-4074022488-495488792-2421918404-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b2c8db62998c9971a03011ccee786a04&text={searchTerms} HKU\S-1-5-21-4074022488-495488792-2421918404-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp HKU\S-1-5-21-4074022488-495488792-2421918404-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60747 HKU\S-1-5-21-4074022488-495488792-2421918404-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b2c8db62998c9971a03011ccee786a04&text={searchTerms} SearchScopes: HKU\S-1-5-21-4074022488-495488792-2421918404-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b2c8db62998c9971a03011ccee786a04&text={searchTerms} SearchScopes: HKU\S-1-5-21-4074022488-495488792-2421918404-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b2c8db62998c9971a03011ccee786a04&text={searchTerms} SearchScopes: HKU\S-1-5-21-4074022488-495488792-2421918404-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=b2c8db62998c9971a03011ccee786a04&text= SearchScopes: HKU\S-1-5-21-4074022488-495488792-2421918404-1000 -> {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} URL = http://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60747 BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File BHO-x32: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKU\S-1-5-21-4074022488-495488792-2421918404-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File FF Plugin: @microsoft.com/GENUINE -> disabled No File FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File FF HKLM\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\1\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack FF Extension: SuperMegaBest.com - C:\Users\1\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack [2014-11-20] FF HKLM-x32\...\Firefox\Extensions: [jid1-n5ARdBzHkUEdAA@jetpack] - C:\Users\1\AppData\Roaming\Mozilla\Extensions\jid1-n5ARdBzHkUEdAA@jetpack CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [pleoihkpdomoijdpaibdciidfoeedamm] - https://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [aaaaadgepjkdffhjbkfjgnnffnfcffbg] - https://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] CHR HKU\S-1-5-21-4074022488-495488792-2421918404-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [aaaaadgepjkdffhjbkfjgnnffnfcffbg] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ajkpgdiejopejkllbihfkpcbmgclpkij] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [aonedlchkbicmhepimiahfalheedjgbh] - https://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found] 2015-03-10 08:24 - 2015-01-21 12:36 - 00000000 ____D () C:\Users\1\AppData\Roaming\ASPackage Task: {660E6433-613F-49C9-AB88-53104FDCB50D} - \{587AA0AB-533D-4811-8EAC-D4E8FAD878C5} No Task File <==== ATTENTION Task: {8B02AAA7-3C6E-438F-9ADB-A54450BA3D5F} - \KMSAutoNet No Task File <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Марат87 0 Опубликовано 10 марта, 2015 Автор Share Опубликовано 10 марта, 2015 что за утилита, где она находится? Снимаю вопрос что за утилита, где она находится? Снимаю вопрос Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 10 марта, 2015 Share Опубликовано 10 марта, 2015 Снимаю вопрос что это было???? зачем было скрипт переводить с английского на русский и затем выполнять то, что получилось? внимательно перечитайте и выполните. Цитата Ссылка на сообщение Поделиться на другие сайты
Марат87 0 Опубликовано 11 марта, 2015 Автор Share Опубликовано 11 марта, 2015 Браузер автоматом перевел, исправил Fixlog.txt 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 11 марта, 2015 Share Опубликовано 11 марта, 2015 всё равно плохо. слились строки.открывали через Хром?откройте в другом браузере и повторите. Цитата Ссылка на сообщение Поделиться на другие сайты
Марат87 0 Опубликовано 14 марта, 2015 Автор Share Опубликовано 14 марта, 2015 Сделал Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 15 марта, 2015 Share Опубликовано 15 марта, 2015 С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.