MaxBit 0 Опубликовано 24 марта, 2015 Share Опубликовано 24 марта, 2015 Прошу помощи. Троян поймала жена, поэтому не могу точно указать после чего он запустился. Предположительно после открытия одного из сайтов с книгами Донцовой либо после открытия файла, скаченного с сайта с рефератами все текстовые файлы и файлы изображений (может и еще какие, я не вникал) зашифровались в формат *.xtbl. К сожалению скачанный файл "реферат" мне так и не удалось найти, внятного ответа на вопрос о его местонахождении я не получил. Также везде появились файлы readme с текстом: "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 4AC46511AAC4E105031A|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации." При обращении на указанный e-mail просят заплатить 5000 р за дешифровку файлов. Проверка KVRT проведена, 3 файла перемещены в карантин. Очистка диска проведена. Autologger запущен. Пример зашифрованного файла, скрины и логи прилагаются. CollectionLog-2015.03.25-00.26.zip образец файла.rar Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 24 марта, 2015 Share Опубликовано 24 марта, 2015 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantine; TerminateProcessByName('c:\programdata\windows\csrss.exe'); QuarantineFile('C:\Program Files (x86)\InstallShield Installation Information\{5612C844-55BC-4B77-82C2-A2E28962418E}\Setup.exe',''); QuarantineFile('C:\PROGRA~3\Mozilla\dnpycbn.exe',''); QuarantineFile('C:\Program Files (x86)\VYUGATEC\VYUGATEC VideoServer\vserver214r.exe',''); QuarantineFile('C:\Program Files (x86)\EgisTec\MyWinLocker',''); QuarantineFile('3\x86\mwlDaemon.exe',''); QuarantineFile('C:\Windows\system32\drivers\490727C0.sys',''); QuarantineFile('C:\Windows\system32\drivers\37803488.sys',''); QuarantineFile('c:\programdata\windows\csrss.exe',''); DeleteFile('c:\programdata\windows\csrss.exe','32'); DeleteFile('C:\PROGRA~3\Mozilla\dnpycbn.exe','32'); DeleteFile('C:\Windows\system32\Tasks\mykrxdi','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin DeleteFile('Qurantine.zip',''); ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk. Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky. Порядок действий на портале My Kaspersky:: 1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта; 2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию; 3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла; 4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected; 5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить. Важно: размер архива не должен превышать 15 МБ; 6) В строке EMail укажите адрес своей электронной почты; 7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса. Порядок действий на портале Kaspersky Virus Desk:: 1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты; 2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина. Важно: размер архива не должен превышать 12 МБ; 3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл. 4) Дождитесь ответа об успешной загрузке карантина. Полученный через электронную почту ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.omlet.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file) O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file) O4 - HKLM\..\Run: [Client Server Runtime Subsystem] "C:\ProgramData\Windows\csrss.exe" Сделайте новые логи по правилам (только пункт 3). + логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
MaxBit 0 Опубликовано 14 апреля, 2015 Автор Share Опубликовано 14 апреля, 2015 (изменено) Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): Не пойму, это и есть ответ, или нужно еще ждать: Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинетаhttps://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика. csrss.exe - Trojan-Ransom.Win32.Shade.w Детектирование файла будет добавлено в следующее обновление. Setup.exe Получен неизвестный файл, он будет передан в Вирусную Лабораторию. vserver214r.exe Вредоносный код в файле не обнаружен. С уважением, Лаборатория Касперского "125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru" Изменено 14 апреля, 2015 пользователем MaxBit Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 14 апреля, 2015 Share Опубликовано 14 апреля, 2015 Сделайте новые логи по правилам (только пункт 3). + логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
MaxBit 0 Опубликовано 14 апреля, 2015 Автор Share Опубликовано 14 апреля, 2015 Сделайте новые логи по правилам (только пункт 3). + логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 не понял. нужно создать новую тему? пункт 3: 3. Создайте новую тему в разделе форума "Уничтожение вирусов". Для этого выполните следующие шаги: нажмите на кнопку ; в поле "Название темы" напишите кратко свою проблему;Примечание. В данном поле не используйте слова "SOS", "спасите", "помогите", "срочно", "караул" и т. п. Это не ускорит решения Вашей проблемы, а, наоборот, - будет расценено как нарушение пункта 18 Правил форума. в поле "Описание темы" можно немного уточнить суть проблемы, а в поле для сообщений более подробно опишите возникшую проблему (можно указать, после чего именно возникли проблемы); вложите в сообщение файл протоколов (логов) - CollectionLog-yyyy.mm.dd-hh.mm.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 706 Опубликовано 14 апреля, 2015 Share Опубликовано 14 апреля, 2015 @MaxBit, нет, сделайте только нужные логи и прикрепите в этой теме 1 Цитата Ссылка на сообщение Поделиться на другие сайты
MaxBit 0 Опубликовано 14 апреля, 2015 Автор Share Опубликовано 14 апреля, 2015 (изменено) Логи FRST делал еще когда создавал тему + новые сегодняшние логи Addition.txt FRST.txt CollectionLog-2015.04.14-22.50.zip FRST.txt Изменено 14 апреля, 2015 пользователем MaxBit Цитата Ссылка на сообщение Поделиться на другие сайты
MaxBit 0 Опубликовано 26 апреля, 2015 Автор Share Опубликовано 26 апреля, 2015 Сделайте новые логи по правилам (только пункт 3). + логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Добрый день.Когда будет и будет ли вообще ответ по решению моей проблемы? Не знаю важно ли это, но возможно я обнаружил файл - источник проблемы. Расширение этого файла .ytbl, в то время как у всех остальных зашифрованных файлов - .xtbl. К тому-же название файла не изменилось, в отличие от остальных после шифровки. В архиве прилагаются оба варианта. образцы.rar Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 апреля, 2015 Share Опубликовано 26 апреля, 2015 Извините потеряли вашу тему. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: CloseProcesses: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk SearchScopes: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> {4179ED28-0094-45eb-B743-1290A1B5FAFF} URL = http://webalta.ru/poisk?q={searchTerms} Toolbar: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> No Name - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - No File Toolbar: HKU\S-1-5-21-2184217513-4248619194-617884876-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-02-05] 2015-03-23 15:56 - 2015-03-23 15:56 - 03148854 _____ () C:\Users\user\AppData\Roaming\D96C8EDED96C8EDE.bmp 2015-03-23 13:30 - 2015-03-25 09:27 - 00000000 __SHD () C:\Users\Все пользователи\Windows 2015-03-23 13:30 - 2015-03-25 09:27 - 00000000 __SHD () C:\ProgramData\Windows 2015-03-23 13:29 - 2015-03-23 13:29 - 00000000 ___HD () C:\Users\user\AppData\Roaming\C0DF05C3 2013-12-18 00:55 - 2013-12-18 00:55 - 0000006 _____ () C:\Users\user\AppData\Roaming\smw_inst 2013-12-23 15:59 - 2013-12-23 16:00 - 0000006 _____ () C:\Users\user\AppData\Roaming\vkm_inst 2013-06-05 09:44 - 2013-06-05 09:44 - 0004988 _____ () C:\ProgramData\yivouaat.sfe C:\Users\user\AppData\Local\Temp\runprog.exe Task: {93B931B0-3E38-4BF1-8C82-CA8B92FE543A} - \mykrxdi No Task File <==== ATTENTION Folder: C:\FRST\Quarantine AlternateDataStreams: C:\ProgramData\Temp:0B9176C0 AlternateDataStreams: C:\ProgramData\Temp:444C53BA AlternateDataStreams: C:\ProgramData\Temp:4CF61E54 AlternateDataStreams: C:\ProgramData\Temp:4D066AD2 AlternateDataStreams: C:\ProgramData\Temp:5D7E5A8F AlternateDataStreams: C:\ProgramData\Temp:93DE1838 AlternateDataStreams: C:\ProgramData\Temp:AB689DEA AlternateDataStreams: C:\ProgramData\Temp:ABE89FFE AlternateDataStreams: C:\ProgramData\Temp:E1F04E8D AlternateDataStreams: C:\ProgramData\Temp:E3C56885 AlternateDataStreams: C:\Users\Все пользователи\Temp:0B9176C0 AlternateDataStreams: C:\Users\Все пользователи\Temp:444C53BA AlternateDataStreams: C:\Users\Все пользователи\Temp:4CF61E54 AlternateDataStreams: C:\Users\Все пользователи\Temp:4D066AD2 AlternateDataStreams: C:\Users\Все пользователи\Temp:5D7E5A8F AlternateDataStreams: C:\Users\Все пользователи\Temp:93DE1838 AlternateDataStreams: C:\Users\Все пользователи\Temp:AB689DEA AlternateDataStreams: C:\Users\Все пользователи\Temp:ABE89FFE AlternateDataStreams: C:\Users\Все пользователи\Temp:E1F04E8D AlternateDataStreams: C:\Users\Все пользователи\Temp:E3C56885 Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
MaxBit 0 Опубликовано 26 апреля, 2015 Автор Share Опубликовано 26 апреля, 2015 Извините потеряли вашу тему. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Готово. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 093 Опубликовано 26 апреля, 2015 Share Опубликовано 26 апреля, 2015 Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.