Ваши файлы зашифрованы

27 марта, 2015

Все файлы зашифрованы, на диске D: с десяток текстовых файлов с таким текстом:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

5FB70A81FA77EE710E56|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

5FB70A81FA77EE710E56|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Где и когда словил вирус не знаю.

CollectionLog-2015.03.27-16.16.zip

27 марта, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Wolk\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\Wolk\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\Users\Wolk\AppData\Roaming\8EE49939\bin.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Wolk\AppData\Roaming\8EE49939\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8EE49939');
DeleteFile('C:\Users\Wolk\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Users\Wolk\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

27 марта, 2015

[KLAN-2628006390]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

bin.exe - Trojan-Banker.Win32.Tinba.lcd
csrss.exe - Backdoor.Win32.Androm.gnoh
ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файлов будет добавлено в следующее обновление.

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xwp

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

CollectionLog-2015.03.27-19.53.zip

27 марта, 2015

смените все важные пароли.

\\

приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

27 марта, 2015

приложите логи FRST

Addition.txt

FRST.txt

27 марта, 2015

удалите через программы и компоненты:

Sweet Page (HKLM-x32\...\sweet-page uninstaller) (Version:  - sweet-page)
WPM18.8.0.169 (HKLM-x32\...\WPM) (Version: 18.8.0.169 - Cherished Technololgy LIMITED)

заархивируйте с паролем virus эти файлы и отправьте карантин на проверку.

2013-05-02 09:45 - 2012-09-07 21:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 09:45 - 2009-07-22 20:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 09:45 - 2012-09-07 21:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
HKU\S-1-5-21-2330395621-4155748071-680869817-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2330395621-4155748071-680869817-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2330395621-4155748071-680869817-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1397080478&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT"
OPR Extension: (SaveFrom.net помощник) - C:\Users\Wolk\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2014-04-05]
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
U4 BthHFSrv; No ImagePath
2015-03-27 16:08 - 2015-03-27 16:08 - 00000000 __SHD () C:\Users\Wolk\AppData\Local\EmieBrowserModeList
2015-03-26 22:07 - 2015-03-27 16:41 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-26 22:07 - 2015-03-27 16:41 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-26 22:06 - 2015-03-27 16:41 - 00000000 ___HD () C:\Users\Wolk\AppData\Roaming\8EE49939
2015-03-26 22:01 - 2015-03-26 22:01 - 00442896 _____ () C:\Users\Wolk\AppData\Roaming\data13.dat
2015-03-26 22:01 - 2015-03-26 22:01 - 0442896 _____ () C:\Users\Wolk\AppData\Roaming\data13.dat
2014-04-06 10:07 - 2015-03-27 16:42 - 0000062 _____ () C:\Users\Wolk\AppData\Roaming\sp_data.sys
2013-05-02 09:45 - 2012-09-07 21:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 09:45 - 2009-07-22 20:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 09:45 - 2012-09-07 21:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

27 марта, 2015

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[KLAN-2628566984]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

SetStretch.cmd,
SetStretch.exe,
SetStretch.VBS

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

Fixlog.txt

27 марта, 2015

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188

Ваши файлы зашифрованы

Рекомендуемые сообщения

aWolk

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

aWolk

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

aWolk

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

aWolk

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum