Ваши файлы зашифрованы

27 марта, 2015

Все файлы зашифрованы, на диске D: с десяток текстовых файлов с таким текстом:

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

5FB70A81FA77EE710E56|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

All the important files on your computer were encrypted.

To decrypt the files you should send the following code:

5FB70A81FA77EE710E56|0

to e-mail address decode00001@gmail.com or decode00002@gmail.com .

Then you will receive all necessary instructions.

All the attempts of decryption by yourself will result only in irrevocable loss of your data.

Где и когда словил вирус не знаю.

CollectionLog-2015.03.27-16.16.zip

27 марта, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Wolk\appdata\roaming\ssleas.exe','');
QuarantineFile('C:\Users\Wolk\AppData\Roaming\cppredistx86.exe','');
QuarantineFile('C:\Users\Wolk\AppData\Roaming\8EE49939\bin.exe','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','');
QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
DeleteFile('C:\PROGRA~2\SupTab\SEARCH~2.DLL','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Wolk\AppData\Roaming\8EE49939\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','8EE49939');
DeleteFile('C:\Users\Wolk\AppData\Roaming\cppredistx86.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Users\Wolk\appdata\roaming\ssleas.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

27 марта, 2015

[KLAN-2628006390]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

bin.exe - Trojan-Banker.Win32.Tinba.lcd
csrss.exe - Backdoor.Win32.Androm.gnoh
ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файлов будет добавлено в следующее обновление.

cppredistx86.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.xwp

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

CollectionLog-2015.03.27-19.53.zip

27 марта, 2015

смените все важные пароли.

\\

приложите логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

27 марта, 2015

приложите логи FRST

Addition.txt

FRST.txt

27 марта, 2015

удалите через программы и компоненты:

Sweet Page (HKLM-x32\...\sweet-page uninstaller) (Version:  - sweet-page)
WPM18.8.0.169 (HKLM-x32\...\WPM) (Version: 18.8.0.169 - Cherished Technololgy LIMITED)

заархивируйте с паролем virus эти файлы и отправьте карантин на проверку.

2013-05-02 09:45 - 2012-09-07 21:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 09:45 - 2009-07-22 20:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 09:45 - 2012-09-07 21:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
HKU\S-1-5-21-2330395621-4155748071-680869817-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2330395621-4155748071-680869817-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2330395621-4155748071-680869817-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1396700289&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT&q={searchTerms}
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hppp&ts=1397080478&from=cor&uid=TOSHIBAXMQ01ABD075_X3SDW0AJTXXX3SDW0AJT"
OPR Extension: (SaveFrom.net помощник) - C:\Users\Wolk\AppData\Roaming\Opera Software\Opera Stable\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2014-04-05]
U4 BthAvrcpTg; No ImagePath
U4 BthHFEnum; No ImagePath
U4 bthhfhid; No ImagePath
U4 BthHFSrv; No ImagePath
2015-03-27 16:08 - 2015-03-27 16:08 - 00000000 __SHD () C:\Users\Wolk\AppData\Local\EmieBrowserModeList
2015-03-26 22:07 - 2015-03-27 16:41 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-26 22:07 - 2015-03-27 16:41 - 00000000 __SHD () C:\ProgramData\Windows
2015-03-26 22:06 - 2015-03-27 16:41 - 00000000 ___HD () C:\Users\Wolk\AppData\Roaming\8EE49939
2015-03-26 22:01 - 2015-03-26 22:01 - 00442896 _____ () C:\Users\Wolk\AppData\Roaming\data13.dat
2015-03-26 22:01 - 2015-03-26 22:01 - 0442896 _____ () C:\Users\Wolk\AppData\Roaming\data13.dat
2014-04-06 10:07 - 2015-03-27 16:42 - 0000062 _____ () C:\Users\Wolk\AppData\Roaming\sp_data.sys
2013-05-02 09:45 - 2012-09-07 21:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 09:45 - 2009-07-22 20:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 09:45 - 2012-09-07 21:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

27 марта, 2015

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[KLAN-2628566984]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

SetStretch.cmd,
SetStretch.exe,
SetStretch.VBS

Вредоносный код в файлах не обнаружен.

С уважением, Лаборатория Касперского

Fixlog.txt

27 марта, 2015

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188

Ваши файлы зашифрованы

Рекомендуемые сообщения

aWolk

thyrex

aWolk

Roman_Five

aWolk

Roman_Five

aWolk

thyrex

Пожалуйста, войдите, чтобы комментировать

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum