Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
Доброго времени суток!

Столкнулся с такой гадостью, как шифровальщик... точнее бабушка моя. Все юзерские файлы зашифрованы. Расширение - xtbl 

 



Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

16875D38032998D218E9|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции. 

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

16875D38032998D218E9|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.



 

Очень надеюсь на вашу помощь!

В аттачах zip после выполнения скрипта в AVZ

 

Так же есть несколько предполагаемых .exe, с помощью которых скачиваются гады.

На учетную запись пароль не стоит... на расшифровку можно не надеяться? (читал другую тему, там такой вывод)

KL_syscure.zip

Опубликовано

Определитесь где будете проходить лечение. Здесь будете лечиться или на официальном форуме ЛК?

  • Спасибо (+1) 1
  • Согласен 1
Опубликовано

Определитесь где будете проходить лечение. Здесь будете лечиться или на официальном форуме ЛК?

разницы ведь нет?

буду здесь

Опубликовано

как раз делаю.

на оф. форуме надо как то отменить/удалить/закрыть тему? чтоб людей не беспокоить

ах. уже прочитал сообщение про дубль там  :)

@mike 1

 

Kaspersky Virus Removal Tool 2011 обнаружила несколько вирусяк. прикладываю скрин. всех их в карантин засунул.

 

логи в аттачах

CollectionLog-2015.03.10-04.35.zip

post-33887-0-15056800-1425940761_thumb.png

Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\users\lf\appdata\local\gmsd_ru_148\upgmsd_ru_148.exe');
 TerminateProcessByName('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp');
 TerminateProcessByName('c:\users\lf\appdata\local\smartweb\smartwebhelper.exe');
 TerminateProcessByName('c:\users\lf\appdata\local\smartweb\smartwebapp.exe');
 TerminateProcessByName('c:\program files\quickref_1.10.0.9\service\qrsvc.exe');
 TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\xtab\protectservice.exe');
 TerminateProcessByName('c:\users\lf\appdata\roaming\5b52ee00-1425329550-81dd-3151-0022159b7b9d\nsa8b57.tmpfs');
 TerminateProcessByName('c:\users\lf\appdata\roaming\5b52ee00-1425329550-81dd-3151-0022159b7b9d\jnsvd01a.tmp');
 TerminateProcessByName('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\jnsf5850.exe');
 TerminateProcessByName('c:\program files\ver4blockandsurf\j4blockandsurfj52.exe');
 TerminateProcessByName('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\insk5a91.tmp');
 TerminateProcessByName('c:\program files\xtab\hpnotify.exe');
 TerminateProcessByName('c:\program files\gmsd_ru_148\gmsd_ru_148.exe');
 TerminateProcessByName('c:\program files\xtab\cmdshell.exe');
 TerminateProcessByName('c:\program files\igs\basementduster.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 SetServiceStart('{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw', 4);
 SetServiceStart('webTinstMK', 4);
 SetServiceStart('qrnfd_1_10_0_9', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('rorycupy', 4);
 SetServiceStart('qrsvc_1.10.0.9', 4);
 SetServiceStart('qiduvoko', 4);
 SetServiceStart('IHProtect Service', 4);
 SetServiceStart('cehufofi', 4);
 SetServiceStart('BasementDuster', 4);
 StopService('{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw');
 StopService('webTinstMK');
 StopService('qrnfd_1_10_0_9');
 StopService('WindowsMangerProtect');
 StopService('rorycupy');
 StopService('qrsvc_1.10.0.9');
 StopService('qiduvoko');
 StopService('IHProtect Service');
 StopService('cehufofi');
 StopService('BasementDuster');
 QuarantineFile('C:\Program Files\xtab\*','');
 QuarantineFile('C:\ProgramData\Kbrowser utility\*','');
 QuarantineFile('C:\Program Files\AnyProtectEx\*','');
 QuarantineFile('C:\ProgramData\WindowsProtec','');
 QuarantineFile('C:\ProgramData\IePluginSe','');
 QuarantineFile('C:\Program Files\Kinoroom Browser\*','');
 QuarantineFile('C:\PROGRA~1\SupTab\*','');
 QuarantineFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw.sys','');
 QuarantineFile('C:\Program Files\PC Connectivity Solution\ServiceLayer.exe','');
 QuarantineFile('C:\Program Files\GamesRS\GUpdater.exe','');
 QuarantineFile('C:\Windows\system32\Drivers\webTinstMK.sys','');
 QuarantineFile('C:\Windows\system32\drivers\qrnfd_1_10_0_9.sys','');
 QuarantineFile('C:\Windows\system32\drivers\BBA4EC9B.sys','');
 QuarantineFile('C:\Windows\system32\drivers\11845434.sys','');
 QuarantineFile('C:\Windows\system32\BDL.dll','');
 QuarantineFile('C:\Program Files\ver4BlockAndSurf\*','');
 QuarantineFile('C:\Program Files\IGS\*','');
 QuarantineFile('c:\users\lf\appdata\local\gmsd_ru_148\*','');
 QuarantineFile('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp','');
 QuarantineFile('c:\users\lf\appdata\local\smartweb\*','');
 QuarantineFile('c:\program files\quickref_1.10.0.9\*','');
 QuarantineFile('c:\programdata\windowsmangerprotect\*','');
 QuarantineFile('c:\users\lf\appdata\roaming\5b52ee00-1425329550-81dd-3151-0022159b7b9d\*','');
 QuarantineFile('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\*','');
 QuarantineFile('c:\program files\gmsd_ru_148\*','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 DeleteFile('C:\Windows\system32\BDL.dll','32');
 DeleteFile('C:\Windows\system32\Drivers\webTinstMK.sys','32');
 DeleteFile('C:\Windows\system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw.sys','32');
 DeleteFile('C:\ProgramData\IePluginSe','32');
 DeleteFile('C:\ProgramData\WindowsProtec','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','32');
 DeleteFile('C:\Windows\Tasks\BlockAndSurf Update.job','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','32');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','32');
 DeleteFile('C:\Windows\system32\Tasks\BlockAndSurf Update','32');
 DeleteFile('C:\ProgramData\Kbrowser utility\','32');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','32');
 DeleteFile('C:\Windows\system32\Drivers\qrnfd_1_10_0_9.sys','32');
 DelBHO('DE71FF32-68BD-1F4E-2ED0-2BA5CAD6F880');
 DelBHO('3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_148');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_148.exe');
 DeleteService('{b1ce3ece-1927-4e6e-b064-2f9628964a7a}Gw');
 DeleteService('webTinstMK');
 DeleteService('qrnfd_1_10_0_9');
 DeleteService('WindowsMangerProtect');
 DeleteService('rorycupy');
 DeleteService('qrsvc_1.10.0.9');
 DeleteService('qiduvoko');
 DeleteService('IHProtect Service');
 DeleteService('cehufofi');
 DeleteService('BasementDuster');
 DeleteFileMask('c:\program files\xtab\','*', true, '');
 DeleteFileMask('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\','*', true, '');
 DeleteFileMask('C:\Program Files\IGS\','*', true, '');
 DeleteFileMask('C:\Program Files\ver4BlockAndSurf\','*', true, '');
 DeleteFileMask('C:\Users\LF\AppData\Roaming\5B52EE00-1425329550-81DD-3151-0022159B7B9D\','*', true, '');
 DeleteFileMask('C:\ProgramData\WindowsMangerProtect\','*', true, '');
 DeleteFileMask('C:\PROGRA~1\SupTab\','*', true, '');
 DeleteFileMask('C:\Program Files\Kinoroom Browser\','*', true, '');
 DeleteFileMask('C:\Program Files\gmsd_ru_148\','*', true, '');
 DeleteFileMask('C:\Users\LF\appdata\local\gmsd_ru_148\','*', true, '');
 DeleteFileMask('C:\Users\LF\appdata\local\smartweb\','*', true, '');
 DeleteFileMask('C:\Program Files\quickref_1.10.0.9\','*', true, '');
 DeleteDirectory('c:\program files\xtab\',' ');
 DeleteDirectory('c:\users\lf\appdata\local\5b52ee00-1425330331-81dd-3151-0022159b7b9d\',' ');
 DeleteDirectory('C:\Program Files\IGS\',' ');
 DeleteDirectory('C:\Program Files\ver4BlockAndSurf\',' ');
 DeleteDirectory('C:\Users\LF\AppData\Local\SmartWeb\',' ');
 DeleteDirectory('C:\Users\LF\AppData\Roaming\5B52EE00-1425329550-81DD-3151-0022159B7B9D\',' ');
 DeleteDirectory('C:\ProgramData\WindowsMangerProtect\',' ');
 DeleteDirectory('C:\PROGRA~1\SupTab\',' ');
 DeleteDirectory('C:\Program Files\Kinoroom Browser\ ',' ');
 DeleteDirectory('C:\Program Files\gmsd_ru_148\',' ');
 DeleteDirectory('C:\Users\LF\appdata\local\gmsd_ru_148\',' ');
 DeleteDirectory('C:\Users\LF\appdata\local\smartweb\ ',' ');
 DeleteDirectory('C:\Program Files\quickref_1.10.0.9\',' ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1425308809&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1425308809&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1425806984&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1425806984&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\XTab\SupTab.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: BlockAndSurf - {DE71FF32-68BD-1F4E-2ED0-2BA5CAD6F880} - C:\Program Files\ver4BlockAndSurf\189.dll
O4 - HKLM\..\Run: [gmsd_ru_148] "C:\Program Files\gmsd_ru_148\gmsd_ru_148.exe"
O4 - HKLM\..\Run: [SmartWeb] C:\Users\LF\AppData\Local\SmartWeb\SmartWebHelper.exe
O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"
O4 - HKLM\..\RunOnce: [upgmsd_ru_148.exe] C:\Users\LF\AppData\Local\gmsd_ru_148\upgmsd_ru_148.exe -runonce
O4 - Startup: SmartWeb.lnk = C:\Users\LF\AppData\Local\SmartWeb\SmartWebHelper.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\bdl.dll
O20 - AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL

 
Сделайте новые логи по правилам (только пункт 3).

+

Приложите логи FarbarRecovery Scan Tool
http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

  • Спасибо (+1) 1
  • Согласен 1
Опубликовано

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

отчет прикладываю.

 

выполнил скрипт в AVZ - комп перезагрузился. затем пытался создать zip карантина...не получается.. не нахожу файл с zip. Как я понял он должен быть в папке AVZ - его нету. Искал через поиск с помощью "*.zip" - не нашелся. Скрин скрипта и протокола его выполнения прикладываю, может что то не так?

Разобрался! скрипт с ошибкой!

 

ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);

 

 

никакого 7z.exe нету. есть 7za.exe

Даже на сайте, где лежит автологгер так написано - см. скрин.

Всё, карантин отправляю, выполняю скрипты дальше 

post-33887-0-53675000-1426013977_thumb.png

ClearLNK-10.03.2015_20-11.log

post-33887-0-57239000-1426014497_thumb.png

Опубликовано

 

 


никакого 7z.exe нету. есть 7za.exe Даже на сайте, где лежит автологгер так написано - см. скрин.

что-то сменили в автологгере.

 

 


Сделайте новые логи по правилам (только пункт 3). + Приложите логи FarbarRecovery Scan Tool http://forum.kaspers...611?do=findComment&comment=647696
  • Спасибо (+1) 1
  • Согласен 1
Опубликовано

ответ про карантин:

 

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

__u.exe,
189.crx,
189.dat,
189.dll,
189.xpi,
BlockAndSurf.exe,
BrowerWatchCH.dll,
BrowerWatchFF.dll,
conf,
gamesdesktop_widget.exe,
gmsd_ru_148.exe,
HPNotify.exe,
h-uEPzwRkfs2zUNhu5ta+5Zo7b4wO+PvSarF69Rn9Dc=.xtbl,
IeWatchDog.dll,
install.data,
J4BlockAndSurfJ52.dll,
J4BlockAndSurfJ52.exe,
jnsf5850.exe,
kbrowser-updater-utility.exe,
nsa8B57.tmpfs,
product.guid,
ProtectService.exe,
ProtectWindowsManager.exe,
searchProvider.xml,
SmartWebApp.exe,
SmartWebHelper.exe,
swhk.dll,
terms-of-service.rtf,
unins000.dat,
unins000.msg,
uninst.lnk,
uninstall.exe,
Uninstall.exe,
uninstall_0.exe,
Uninstall_0.exe,
Uninstall_2.exe,
Uninstall_3.exe,
upgmsd_ru_148.cyl,
user_profil.cyp,
vnsq6BCF.tmp,
webTinstMK.sys

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

BasementDuster.exe,
BasementDuster.tlb,
BasementDusterCert.dll,
BDL.dll,
BDL.exe,
BDL.ini,
BDL_0.dll,
BDL64.dll,
BDL64.exe,
ffsearch_toolbar!1.0.0.1025.xpi,
jnsvD01A.tmp,
nssckbi.dll,
nssdbm3.dll,
omwd.sys,
softokn3.dll,
ssl3.dll,
SupTab.dll,
unins000.exe

Вредоносный код в файлах не обнаружен.

bcqr00037.dat,
bcqr00038.dat,
snsbd76d.tmp - not-a-virus:AdWare.Win32.AdSvc.h
CmdShell.exe - not-a-virus:AdWare.Win32.SearchProtect.ky
insk5A91.tmp - not-a-virus:AdWare.Win32.AdSvc.b
predm.exe - not-a-virus:AdWare.Win32.Eorezo.jlb
qrnfd_1_10_0_9.sys,
Uninstall_1.exe - not-a-virus:AdWare.Win32.Vitruvian.e

Это файлы от рекламной системы. Детектирование файлов будет добавлено в   следующее обновление расширенного набора баз. Подробная информация о   расширенных базах: http://www.kaspersky.ru/extraavupdates

csrss.exe - Backdoor.Win32.Androm.gkcx

Детектирование файла будет добавлено в следующее обновление.

rnsfC5F8.exe,
rnsk5A92.exe - not-a-virus:Downloader.Win32.Agent.deqn
upgmsd_ru_148.exe - not-a-virus:RiskTool.Win32.Agent.nak

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

логи автологгера и FRST:


 

 

AnyProtect.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

Addition.txt

CollectionLog-2015.03.11-02.46.zip

FRST.txt

Опубликовано

Удалите через CCleaner установленные программы:

GamesDesktop 033.148 (HKLM\...\gmsd_ru_148_is1) (Version:  - GAMESDESKTOP) <==== ATTENTIONIGS (HKLM\...\IGS) (Version:  - ) <==== ATTENTION!
igsc (HKLM\...\igsc) (Version: 1.0.0.0 - igs) <==== ATTENTION!
istartsurf uninstall (HKLM\...\istartsurf uninstall) (Version:  - istartsurf) <==== ATTENTION
Remote Desktop Access (VuuPC) (HKLM\...\VOPackage) (Version: 1.0.0.0 - CMI Limited) <==== ATTENTION
SmartWeb (HKLM\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) <==== ATTENTION
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
Task: {3EFC87C2-793B-4FF7-ABCF-0EE7311C26F6} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\LF\AppData\Local\SmartWeb\SmartWebHelper.exe <==== ATTENTION


Task: {DF16BDB6-0F19-4897-997C-C47855089D83} - \kbrowser-updater-utility No Task File <==== ATTENTION
2015-03-02 20:54 - 2015-03-02 20:54 - 00141312 _____ () C:\Users\LF\AppData\Local\5B52EE00-1425329642-81DD-3151-0022159B7B9D\snsbD76D.tmp
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service"
HKU\S-1-5-21-3150508205-1287835431-101241144-1000\...\Run: [**1=>28 !>DB<*>] => "C:\Program Files\Obnovi Soft\ObnoviSoft.exe" -startup <===== ATTENTION (Value Name with invalid characters)
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-3150508205-1287835431-101241144-1000\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3150508205-1287835431-101241144-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1425806984&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> yandex.ru-130619 URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {1D93F2B0-43FB-4D19-8197-F17D28812C65} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=dspp&ts=1425806999&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {AE9016E0-F5F4-4258-9B14-074EC25A0A33} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {BB63FB5B-284C-4318-9610-4068B282F738} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895&ts=1425807028&type=default&q={searchTerms}
Toolbar: HKU\S-1-5-21-3150508205-1287835431-101241144-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Winsock: Catalog9 01 C:\Windows\system32\BDL.dll File Not found ()
Winsock: Catalog9 02 C:\Windows\system32\BDL.dll File Not found ()
Winsock: Catalog9 03 C:\Windows\system32\BDL.dll File Not found ()
Winsock: Catalog9 04 C:\Windows\system32\BDL.dll File Not found ()
Winsock: Catalog9 34 C:\Windows\system32\BDL.dll File Not found ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1401731452&from=sien&uid=WDCXWD3200BEVT-22ZCT0_WD-WXE508PZ5895Z5895
FF Extension: The best games in one place - C:\Users\LF\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\playgame@zugaramedia.com.xpi [2014-05-04]
FF HKU\S-1-5-21-3150508205-1287835431-101241144-1000\...\Firefox\Extensions: [{F6D17A90-2A3E-15C3-0449-C0F1E1D9378E}] - C:\Program Files\ver4BlockAndSurf\189.xpi
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho [Not Found]
R2 zyrityty; C:\Users\LF\AppData\Local\5B52EE00-1425329642-81DD-3151-0022159B7B9D\snsbD76D.tmp [141312 2015-03-02] () [File not signed]
S2 GamesRS; C:\Program Files\GamesRS\GUpdater.exe [X]
S3 ServiceLayer; "C:\Program Files\PC Connectivity Solution\ServiceLayer.exe" [X]
S1 {b1ce3ece-1927-4e6e-b064-2f9628964a7a}w; system32\drivers\{b1ce3ece-1927-4e6e-b064-2f9628964a7a}w.sys [X]
2015-03-08 15:30 - 2015-03-08 15:30 - 00613255 _____ (CMI Limited) C:\Users\LF\AppData\Local\nssF27B.tmp
2015-03-04 16:42 - 2015-03-10 20:14 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-04 16:42 - 2015-03-10 20:14 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-04 15:04 - 2015-03-08 15:32 - 00000968 _____ () C:\Users\LF\Desktop\AnyProtect.lnk
2015-03-04 15:02 - 2015-03-04 15:02 - 00613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsc20BB.tmp
2015-03-04 01:08 - 2015-03-04 01:12 - 00000000 ____D () C:\Users\LF\AppData\Roaming\Obnovi Soft
2015-03-04 01:08 - 2015-03-04 01:08 - 00000989 _____ () C:\Users\LF\Desktop\Обнови Софт.lnk
2015-03-04 01:08 - 2015-03-04 01:08 - 00000000 ____D () C:\Users\LF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-03-04 01:08 - 2015-03-04 01:08 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обнови Софт
2015-03-04 01:08 - 2015-03-04 01:08 - 00000000 ____D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Booster 2
2015-03-04 01:08 - 2015-03-04 01:08 - 00000000 ____D () C:\Program Files\Obnovi Soft
2015-03-03 00:13 - 2015-03-03 00:13 - 00613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nss7CCF.tmp
2015-03-02 23:13 - 2015-03-02 23:13 - 00613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsm9473.tmp
2015-03-02 21:26 - 2015-03-02 21:26 - 00000000 ____D () C:\Users\LF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
2015-03-02 21:25 - 2015-03-10 20:14 - 00000000 ____D () C:\Program Files\AnyProtectEx
2015-03-02 21:25 - 2015-03-02 21:25 - 00613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsn30A7.tmp
2015-03-02 21:25 - 2015-03-02 21:25 - 00000000 __SHD () C:\Users\LF\AppData\Roaming\AnyProtectEx
2015-03-02 21:24 - 2015-03-08 14:58 - 00001770 _____ () C:\Windows\patsearch.bin
2015-03-02 21:08 - 2015-03-02 21:08 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate
2015-03-02 21:08 - 2015-03-02 21:08 - 00000000 ____D () C:\ProgramData\IHProtectUpDate
2015-03-02 21:07 - 2015-03-10 20:16 - 00000000 ____D () C:\Program Files\XTab
2015-03-02 21:06 - 2015-03-10 04:28 - 00010736 _____ () C:\Windows\system32\BasementDuster.ini
2015-03-02 21:06 - 2015-03-10 04:28 - 00008640 _____ () C:\Windows\system32\BasementDusterOff.ini
2015-03-02 21:05 - 2015-03-02 21:05 - 00000000 ____D () C:\Users\LF\AppData\Roaming\istartsurf
2015-03-02 20:54 - 2015-03-11 02:45 - 00000000 ____D () C:\Users\LF\AppData\Local\5B52EE00-1425329642-81DD-3151-0022159B7B9D
2015-03-02 20:52 - 2015-03-10 20:16 - 00000000 ____D () C:\Users\LF\AppData\Roaming\5B52EE00-1425329550-81DD-3151-0022159B7B9D
2015-03-02 20:52 - 2015-03-02 20:52 - 00000000 ____D () C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-03-02 20:52 - 2015-03-02 20:52 - 00000000 ____D () C:\Users\LF\AppData\Roaming\VOPackage
2015-03-02 20:52 - 2015-03-02 20:52 - 00000000 ____D () C:\Users\LF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
2015-03-02 20:52 - 2015-03-02 20:52 - 00000000 ____D () C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-03-04 15:02 - 2015-03-04 15:02 - 0613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsc20BB.tmp
2015-03-02 23:13 - 2015-03-02 23:13 - 0613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsm9473.tmp
2015-03-02 21:25 - 2015-03-02 21:25 - 0613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nsn30A7.tmp
2015-03-03 00:13 - 2015-03-03 00:13 - 0613067 _____ (CMI Limited) C:\Users\LF\AppData\Local\nss7CCF.tmp
2015-03-08 15:30 - 2015-03-08 15:30 - 0613255 _____ (CMI Limited) C:\Users\LF\AppData\Local\nssF27B.tmp

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

 


Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 TerminateProcessByName('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp');
 QuarantineFile('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp','');
 DeleteFile('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp','32');
 DelAutorunByFileName('c:\users\lf\appdata\local\5b52ee00-1425329642-81dd-3151-0022159b7b9d\snsbd76d.tmp ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Сделайте новые логи по правилам (только пункт 3).
  • Спасибо (+1) 1
Опубликовано
  1. SmartWeb (HKLM\...\SmartWeb) (Version: 8.0.9 - SoftBrain Technologies Ltd.) ----> Не удается найти указанный файл
  2. istartsurf uninstall (HKLM\...\istartsurf uninstall) (Version:  - istartsurf) ----> чтобы удалить, надо было ввести капчу :D и ваще подозрительный установщик
  3. igsc (HKLM\...\igsc) (Version: 1.0.0.0 - igs) ----> так же как и первый, не найден файл
  4. (HKLM\...\IGS) (Version:  - ) ----> так же
  5. GameDesktop ----> так же

что делать? просто продолжать инструкцию?

Опубликовано

PS такой вопрос. при шифровании файла, как это происходит? какой из следующих вариантов правильный:

  1. Копируется массив байтов файла, они шифруются, создается новый файл, в который записывается шифр, искомый файл удаляется;
  2. Всё происходит прямо "в файле". Т.е. новый файл не создается и искомый не удаляется ?

почему интересуюсь - если шанс восстановить хоть какую то часть, через восстановление удаленных файлов? например, через прогу RStudio ?

Опубликовано

 

 

что делать? просто продолжать инструкцию?

Эти программы нужно удалить через установка и удаление программ.

 

 

Kaspersky Anti-Virus (Version: 15.0.0.463 - Лаборатория Касперского) Hidden

Уточните пожалуйста вы антивирус установили уже после заражения шифратором?

  • Спасибо (+1) 1
  • Согласен 1
Опубликовано

Эти программы нужно удалить через установка и удаление программ.

 

само собой попробовал и там - результат тот же..те же самые ошибки.

 

после заражения вообще ничего не делал, не устанавливал/не удалял. даже файлы все на своих местах.

ничего не делал, кроме инструкций в данной теме

но! в момент заражения, действующей лицензии не было, т.е. каспер был отключен

Опубликовано

 

 

само собой попробовал и там - результат тот же..те же самые ошибки.

Тогда пропускайте этот шаг и выполняйте скрипт Farbar.

 

 

 

после заражения вообще ничего не делал, не устанавливал/не удалял. даже файлы все на своих местах.

Т.е. я правильно вас понял, что заражение у вас произошло 2 марта, а антивирус касперского вы установили 4 марта? 

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • sanka
      Автор sanka
      Добрый день!
       
      Просьба помочь с расшифровкой.
      Лог FRST, записка вымогателя и примеры зашифрованных файлов во вложении
      FRST.zip примеры и записка вымогателя.zip
    • Andrey_ka
      Автор Andrey_ka
      Добрый день! Может , кто подскажет... попался диск с архивами одного предприятия , диск стоял на NAS Iomega, со временем hdd был поврежден , но данные с него я смог вытащить , файловая структура целая , но как выяснилось ни один из файлов нормально не открывается, уточни у бывших работников и выяснил , что еще до того как он умер у них начались подобные проблемы и большую часть информации они успели переписать ( все указывает на работу вируса шифровальщика) , взяв несколько файлов попытался онлайн прогнать разными анализаторами вирусов , результат один вирусов не обнаружено ... теперь о самих файлах - неважно это файлы doc, docx, pdf и т.д. тенденция прослеживается такая, начало файла смещение 0x2E0 защифрованно, в конец файла добавлено 1126 байт , код начинается D9 9D 68 и полностью одинаковы во всех файлах кроме последних 0x84 байта. Ни то, что бы информация очень востребована , любопытно, что это за вирус и тд... если кому интересно , образцы файлов выложу и дамп концовки ....    
          вставить выделенную цитату в окно ответа
            xТитульный.docx Титульный.docx titdump.txt
    • Mep3aBEz
      Автор Mep3aBEz
      Добрый день!
      6 мая 2025 года зашифровались файлы.
      Как проник вирус неизвестно.
       
      Произошло:
      Ночью на виртуалку на Win10x64 с включенным RDP в папку c:\users\admin\music попал файл AD.exe
      На самой виртуалке ничего не зашифровалось, но два рабочих компьютера на Win11, которые были включены в тот момент зашифровались.
      Также не зашифровался ни один (из 5) рабочий сервер на виртуалках с WS2022.
      С зашифрованных компов была удалена система, поэтому лог анализа системы прикрепить не могу, файл шифровальщика тоже не сохранили.
       
       
       
      encrypt_files.zip
    • tamerlan
      Автор tamerlan
      Доброго дня. зашифровались все файлы в формат .danie 
      Волнует только расшифровать файл базы 1С, пото просто переустановлю систему и все. 
      Помогите пожалуйста.
    • robocop1974
      Автор robocop1974
      Добрый день. Если есть возможность выяснить есть ли дешифратор?
      Система была переустановлена (но имеется клон, для анализа смогу без проблем предоставить логи Farbar Recovery Scan Tool, но к сожалению позже).
      В архиве несколько зашифрованных файлов.
      *.txt, *.html файлов для выкупа не было. Но была папка с названием "DontDeleteThisFolder" в ней лежал файл "enc". Файл так же в архиве.
       
      Пробовал некоторые дешифраторы с сайта Касперского и Крипто-шерифа, но к сожалению безуспешно.
       
      Заранее спасибо за уделенное время!
       
      files.zip
×
×
  • Создать...