Произошла зашифровка файлов на компьютере.

25 марта, 2015

Здравствуйте! У меня приключилась беда. Сегодня все файлы на компьютере зашифровались. Заставка на рабочем столе сменилась, и появились файлы README ( прикрепил к посту). После чего произошла шифровка сказать не могу, никаких писем не приходило. Произвел сбор логов. (прикрепил к посту). Очень надеюсь на вашу помощь! Заранее благодарен!

README1.txt

CollectionLog-2015.03.25-22.20.zip

25 марта, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\1\appdata\roaming\x11\a\engine.exe','');
QuarantineFile('C:\Users\1\appdata\roaming\ssleas.exe','');
DelCLSID('{947217BD-E967-400A-B14A-BA851A8EDCBB}');
DelBHO('{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478}');
QuarantineFile('C:\Users\1\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\Program Files (x86)\Babylon\Babylon-Pro\Babylon.exe','');
DeleteService('TicnoSearch');
TerminateProcessByName('c:\users\1\appdata\roaming\ssleas.exe');
QuarantineFile('c:\users\1\appdata\roaming\ssleas.exe','');
TerminateProcessByName('c:\users\1\appdata\roaming\cppredistx86.exe');
QuarantineFile('c:\users\1\appdata\roaming\cppredistx86.exe','');
DeleteFile('c:\users\1\appdata\roaming\cppredistx86.exe','32');
DeleteFile('c:\users\1\appdata\roaming\ssleas.exe','32');
DeleteFile('C:\PROGRA~2\Ticno\Multibar\SearchService.exe','32');
DeleteFile('C:\Program Files (x86)\Babylon\Babylon-Pro\Babylon.exe','32');
DeleteFile('C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonDocTranslationPI.dll','32');
DeleteFile('C:\Program Files (x86)\SmartTweak Software\SpeedUpMyComputer\SpeedUpMyComputer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SpeedUpMyComputer');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
DeleteFile('C:\Users\1\AppData\Roaming\cppredistx86.exe','32');
DeleteFile('res:\C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm','32');
DeleteFile('C:\Users\1\appdata\roaming\ssleas.exe','32');
DeleteFile('C:\Users\1\appdata\roaming\x11\a\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

26 марта, 2015

KLAN-2622485938

вот собственно сам ответ

"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

так же повторно собрал логи

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xwp
engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.uvp

Это - потенциально опасное ПО. Детектирование файлов будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского"

CollectionLog-2015.03.26-11.53.zip

26 марта, 2015

Удалите вручную

C:\Users\1\AppData\Roaming\data13.dat

C:\ProgramData\Babylon

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188

Произошла зашифровка файлов на компьютере.

Рекомендуемые сообщения

Koshelev Pavel

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Koshelev Pavel

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum