serega2015 Опубликовано 19 марта, 2015 Опубликовано 19 марта, 2015 все файлы переименованы в белиберду с расширением.xtbl. В многочисленных текстовиках созданных вирусом пишется вот это: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 636211FC118AEE01BE0A|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 636211FC118AEE01BE0A|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.03.19-11.53.zip
thyrex Опубликовано 19 марта, 2015 Опубликовано 19 марта, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files (x86)\VK Downloader\UTikzNzHO9.exe',''); QuarantineFile('C:\Program Files (x86)\advPlugin\_NPzSTtn8u.exe',''); QuarantineFile('C:\Users\user\AppData\Local\Kometa\Application\kometa.exe',''); QuarantineFile('C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe',''); QuarantineFile('C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe',''); DeleteService('Util WiseEnhance'); SetServiceStart('Update WiseEnhance', 4); DeleteService('Update WiseEnhance'); TerminateProcessByName('c:\program files (x86)\wiseenhance\updatewiseenhance.exe'); QuarantineFile('c:\program files (x86)\wiseenhance\updatewiseenhance.exe',''); TerminateProcessByName('c:\users\user\appdata\local\kometa\application\kometa.exe'); QuarantineFile('c:\users\user\appdata\local\kometa\application\kometa.exe',''); DeleteFile('c:\users\user\appdata\local\kometa\application\kometa.exe','32'); DeleteFile('c:\program files (x86)\wiseenhance\updatewiseenhance.exe','32'); DeleteFile('C:\Program Files (x86)\WiseEnhance\updateWiseEnhance.exe','32'); DeleteFile('C:\Program Files (x86)\WiseEnhance\bin\utilWiseEnhance.exe','32'); DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\ok.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo'); DeleteFile('C:\Users\user\AppData\Local\Amigo\Application\vk.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_9C1BC4CD9BA445F94CF1E8A1E333F87E'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_23B00AE0BBAC51F87C57CAF0278F13F6'); DeleteFile('C:\Users\user\AppData\Local\Kometa\Application\kometa.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','skbkxakbtd'); DeleteFile('C:\Program Files (x86)\advPlugin\_NPzSTtn8u.exe','32'); DeleteFile('C:\Windows\Tasks\Update Service for advPlugin.job','64'); DeleteFile('C:\Windows\Tasks\Update Service for advPlugin2.job','64'); DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader.job','64'); DeleteFile('C:\Windows\Tasks\Update Service for VK Downloader2.job','64'); DeleteFile('C:\Program Files (x86)\VK Downloader\UTikzNzHO9.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for advPlugin2','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for VK Downloader2','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти