bringer Опубликовано 11 марта, 2015 Опубликовано 11 марта, 2015 Выключил компьютер, на следующий день при включении обнаружил вот такую надпись на рабочем столе:(файлы сканировались Dr.web Curelt, на сколько понял все результаты выполнены и находятся в логах)Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 31FFD4D960C80965DA6B|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 31FFD4D960C80965DA6B|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.03.11-20.17.zip
thyrex Опубликовано 12 марта, 2015 Опубликовано 12 марта, 2015 Mobogenie3 удалите через Установку программ Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\incom\AppData\Local\SwvUpdater\Updater.exe',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe',''); QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe',''); SetServiceStart('MobogenieService', 4); DeleteService('MobogenieService'); SetServiceStart('servervo', 4); DeleteService('servervo'); TerminateProcessByName('c:\users\incom\appdata\roaming\vopackage\vosrv.exe'); QuarantineFile('c:\users\incom\appdata\roaming\vopackage\vosrv.exe',''); TerminateProcessByName('c:\program files\mobogenie3\mobogenieservice.exe'); TerminateProcessByName('c:\program files\mobogenie3\mobogeniehelper.exe'); DeleteFile('c:\program files\mobogenie3\mobogeniehelper.exe','32'); DeleteFile('c:\program files\mobogenie3\mobogenieservice.exe','32'); DeleteFile('c:\users\incom\appdata\roaming\vopackage\vosrv.exe','32'); DeleteFile('C:\Program Files\Mobogenie3\log.dll','32'); DeleteFile('C:\Program Files\Mobogenie3\MGCommon.dll','32'); DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Обнови Софт','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); DeleteFile('C:\Program Files\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Users\incom\AppData\Local\SwvUpdater\Updater.exe','32'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам
bringer Опубликовано 16 марта, 2015 Автор Опубликовано 16 марта, 2015 Кроме этого ответа ничего за несколько дней не приходило ни на почту, ни в сам личный кабинет. К тому же в поле "мои запросы" не отображается ничего. Заявку отправлял дваждыПришел на почту ответ:Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.csrss.exe - Backdoor.Win32.Androm.gkyhДетектирование файла будет добавлено в следующее обновление.vosrv.exeПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru"
bringer Опубликовано 18 марта, 2015 Автор Опубликовано 18 марта, 2015 Кроме этого сообщения у меня нет больше информации.Мне отправить еще раз запрос? куда должны придти логи?
thyrex Опубликовано 18 марта, 2015 Опубликовано 18 марта, 2015 Новые логи по правилам сделайте и прикрепите к сообщению
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти