Перейти к содержанию

Ваши файлы зашифрованы


Рекомендуемые сообщения

Все файлы зашифрованы, на диске D: с десяток текстовых файлов с таким текстом:

Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
5FB70A81FA77EE710E56|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
 
 
All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
5FB70A81FA77EE710E56|0
to e-mail address decode00001@gmail.com or decode00002@gmail.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.

 

 

Где и когда словил вирус не знаю.

 

CollectionLog-2015.03.27-16.16.zip

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Wolk\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\Wolk\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\Users\Wolk\AppData\Roaming\8EE49939\bin.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Wolk\AppData\Roaming\8EE49939\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8EE49939');
DeleteFile('C:\Users\Wolk\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Users\Wolk\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

[KLAN-2628006390]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

bin.exe - Trojan-Banker.Win32.Tinba.lcd
csrss.exe - Backdoor.Win32.Androm.gnoh
ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файлов будет добавлено в следующее обновление.

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xwp

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

 

 

CollectionLog-2015.03.27-19.53.zip

Ссылка на комментарий
Поделиться на другие сайты

удалите через программы и компоненты:

Sweet Page (HKLM-x32\...\sweet-page uninstaller) (Version:  - sweet-page)
WPM18.8.0.169 (HKLM-x32\...\WPM) (Version: 18.8.0.169 - Cherished Technololgy LIMITED)

заархивируйте с паролем virus эти файлы и отправьте карантин на проверку.

2013-05-02 09:45 - 2012-09-07 21:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 09:45 - 2009-07-22 20:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 09:45 - 2012-09-07 21:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
HKU\S-1-5-21-2330395621-4155748071-680869817-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2330395621-4155748071-680869817-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2330395621-4155748071-680869817-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1397080478&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT"
OPR Extension: (SaveFrom.net помощник) - C:\Users\Wolk\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2014-04-05]
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
U4 BthHFSrv; No ImagePath
2015-03-27 16:08 - 2015-03-27 16:08 - 00000000 __SHD () C:\Users\Wolk\AppData\Local\EmieBrowserModeList
2015-03-26 22:07 - 2015-03-27 16:41 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-26 22:07 - 2015-03-27 16:41 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-26 22:06 - 2015-03-27 16:41 - 00000000 ___HD () C:\Users\Wolk\AppData\Roaming\8EE49939
2015-03-26 22:01 - 2015-03-26 22:01 - 00442896 _____ () C:\Users\Wolk\AppData\Roaming\data13.dat
2015-03-26 22:01 - 2015-03-26 22:01 - 0442896 _____ () C:\Users\Wolk\AppData\Roaming\data13.dat
2014-04-06 10:07 - 2015-03-27 16:42 - 0000062 _____ () C:\Users\Wolk\AppData\Roaming\sp_data.sys
2013-05-02 09:45 - 2012-09-07 21:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 09:45 - 2009-07-22 20:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 09:45 - 2012-09-07 21:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Ссылка на комментарий
Поделиться на другие сайты

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

 

 

 


[KLAN-2628566984]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

SetStretch.cmd,
SetStretch.exe,
SetStretch.VBS

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • InnaC
      От InnaC
      Файлы на сервере 1С и он же файловый сервер зашифрованы. Файлы получили расширение Demetro9990@cock.li.
      Можно ли их как-то спасти?
      FRST.txt Addition.txt
    • ligiray
      От ligiray
      Добрый день
       
      Зашифровались файлы, стали с расширением .kasper
       
      И появился файл Readme с текстом:
      kasper Ransmoware
      ATTENTION!
      At the moment, your system is not protected.
      We can fix itand restore files.
      To get started, send a file to decrypt trial.
      You can trust us after opening the test file.
      2.Do not use free programs to unlock.
      To restore the system write to both : kasperskyrans@gmail.com        and      kasperskyrans@outlook.com
      Telegram id:@kasperrecovery
      Your Decryption ID: C3C29BC3926D6E30
       
      Нужна помощь, заранее спасибо
    • Тимур М
      От Тимур М
      Всем привет!

      На компе все файлы зашифровались с окончанием Demetro9990@cock.li 
      Написал письмо - просит 1400 долларов на биткоин кошелек.
       
      Можете как то помочь?
×
×
  • Создать...