kav76n Опубликовано 10 марта, 2015 Share Опубликовано 10 марта, 2015 6 числа выключил компьютер , а сегодня при включении увидел на рабочем столе надпись красным на черном все важные файлы на всех дисках компьютера зашифрованы, Подробности вы можете прочитать в файлах readme.txt которые можно найти на из дисков. Рабочий стол был не активен, загрузился с загрузочного диска и запустил Kaspersky Virus Removal Tool 2011.После лечения перегрузился в обычном режиме, рабочий теперь активный. Все нужные файла зашифорованы. Пожалуйста подскажите что делать дальше и как можно восстановить зашифрованную информацию. CollectionLog-2015.03.10-11.12.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 10 марта, 2015 Share Опубликовано 10 марта, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; ClearQuarantine; QuarantineFile('C:\Windows\System32\wmuser.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Windows\system32\stmode.exe',''); DeleteFile('C:\Windows\system32\stmode.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); DeleteFile('C:\Windows\System32\wmuser.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','wmuser'); DeleteService('srvstmode'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать). R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS&q={searchTerms} R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS&q={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hp&ts=1421411534&from=amt&uid=ST3320413AS_Z2A7LDNSXXXXZ2A7LDNS O2 - BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\XTab\SupTab.dll Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
kav76n Опубликовано 11 марта, 2015 Автор Share Опубликовано 11 марта, 2015 файл с карантином пустой, логи прикладываю AdwCleanerR1.txt CollectionLog-2015.03.11-14.09.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 12 марта, 2015 Share Опубликовано 12 марта, 2015 удалите всё найденное в AdwCleaner новый лог приложите. http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160 приложите логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Ссылка на комментарий Поделиться на другие сайты More sharing options...
kav76n Опубликовано 16 марта, 2015 Автор Share Опубликовано 16 марта, 2015 Новые логи Новые логи Новые логи FRST.txt FRST.txt AdwCleanerR2.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 марта, 2015 Share Опубликовано 16 марта, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-2023463592-319847239-394858958-1184 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [jdkihdhlegcdggknokfekoemkjjnjhgi] - http://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx 2015-03-06 16:16 - 2015-03-06 16:16 - 00000000 ___HD () C:\Users\kistenev\AppData\Roaming\D05ED608 2015-03-10 08:05 - 2015-01-16 15:55 - 00000000 ____D () C:\Users\kistenev\AppData\Local\18220 Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
kav76n Опубликовано 16 марта, 2015 Автор Share Опубликовано 16 марта, 2015 лог-файл Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 марта, 2015 Share Опубликовано 16 марта, 2015 С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти