Вирус зашифровал данные на ноуте.

[Rainbow_Raccoon]

Подхватил шифровальщика, не знаю даже где, но догадываюсь. После очередного включения компьютера жутко начал ругаться брандмауэр, я с дуру не обратил внимания и отключил его чтобы он не мешал. Посмотрел фильм, а после просмотра увидел чудо в виде шифровки моих файлов.

 

Вот то, что было написано в ReadMe.txt:

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

EC174B4213FCDC7569EE|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

 

 

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

EC174B4213FCDC7569EE|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

CollectionLog-2015.03.23-09.00.zip

[Roman_Five]

Покерные программы удалять?

\\

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\windows\system32\drivers\wtsrv.exe');
 TerminateProcessByName('c:\users\1\appdata\roaming\ssleas.exe');
 TerminateProcessByName('c:\program files (x86)\mypublicwifi\publicwifiservice.exe');
 TerminateProcessByName('c:\users\1\appdata\roaming\x11\engine.exe');
 TerminateProcessByName('c:\programdata\windows\csrss.exe');
 TerminateProcessByName('c:\users\1\appdata\roaming\cppredistx86.exe');
 QuarantineFile('C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\_etoured.dll','');
 QuarantineFile('C:\Program Files (x86)\YTAHelper\YTAHelper.exe','');
 QuarantineFile('spbiu.exe','');
 QuarantineFile('C:\ProgramData\ShopperPro\spbihe.js','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\updater.exe','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','');
 QuarantineFile('C:\PROGRA~2\4SHARE~1\CMenu.dll','');
 QuarantineFile('C:\Windows\system32\drivers\1E4A2832F.sys','');
 QuarantineFile('C:\Windows\system32\drivers\3524925AC.sys','');
 QuarantineFile('C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys','');
 QuarantineFile('C:\Windows\TEMP\5FB52EB.sys','');
 QuarantineFile('C:\Windows\system32\drivers\1CF0E997.sys','');
 QuarantineFile('C:\Windows\system32\wintab32.dll','');
 QuarantineFile('C:\Program Files (x86)\MyPublicWiFi\NdisApi.dll','');
 QuarantineFile('C:\Program Files (x86)\YouTube Accelerator\ytalsp.dll','');
 QuarantineFile('c:\windows\system32\drivers\wtsrv.exe','');
 QuarantineFile('c:\users\1\appdata\roaming\ssleas.exe','');
 QuarantineFile('c:\program files (x86)\mypublicwifi\publicwifiservice.exe','');
 QuarantineFile('c:\program files (x86)\gyazo\gystation.exe','');
 QuarantineFile('c:\users\1\appdata\local\magicholdem\magicholdem_service.exe','');
 QuarantineFile('c:\users\1\appdata\roaming\x11\engine.exe','');
 QuarantineFile('c:\programdata\windows\csrss.exe','');
 QuarantineFile('c:\users\1\appdata\roaming\cppredistx86.exe','');
 DeleteFile('c:\users\1\appdata\roaming\ssleas.exe','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64');
 DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
 DeleteFile('spbiu.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_323635363432333933332d3437415a556c2a3223346c41','64');
 DeleteFile('C:\Users\1\appdata\roaming\cppredistx86.exe','32');
 DeleteFile('C:\Users\1\appdata\roaming\x11\engine.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. 

Для создания архива с карантином выполните скрипт:

 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

 

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

 

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

 

Полученный через электронную почту ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - (no file)
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O3 - Toolbar: (no name) - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - (no file)


O4 - HKCU\..\Run: [Microsoft Visual C++ 2010] C:\Users\1\AppData\Roaming\cppredistx86.exe
O4 - HKCU\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe"

 

Сделайте новые логи по правилам (только пункт 3).

+

Выполните в AVZ восьмой стандартный скрипт (главное окно AVZ - Файл - Стандартные скрипты - 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК - Выполнить отмеченные скрипты).

Загрузите архив virusinfo_auto_{name_PC}.zip из папки AVZ4/LOG через следующую форму, не забыв отметить пункт "Отправить отчет о сканировании на E-mail" и указать реальный адрес своей электронной почты.

Ссылки на результаты проверки онлайн-сервисом VirusDetector и обсуждение результатов проверки из полученного письма с темой "VirusDetector - обработка карантина завершена" после загрузки карантина приложите здесь.

Подробнее с правилами сервиса VirusDetector можно ознакомиться здесь.

+

приложите логи MBAM и FRST

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696