Вирус изменил расширения всех файлов фотографий *.jpg на *.jpg.lcrccul

[Yaroslav888]

В зашифрованых папках появился текстовый файл такого содержания

Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://uw2kdu43jtxssofz.onion.cabor http://uw2kdu43jtxssofz.tor2web.org
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://uw2kdu43jtxssofz.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
D5TOBB-GTP6S3-DINMQ4-N5UB2S-Q7PELW-WBJNFA-XPVFKO-TSX4WR
VAFIYC-LEFP7P-BNUCTC-LZ6LH2-U4CEZD-KXVLCN-KDJO5Q-46QQHJ
PZXNJ3-TVFA2J-6MRWOL-MTLJGU-RLPTG6-XB5CLS-RS77HF-TE2EBJ

Follow the instructions on the server.

логи

два подозрительных файла переименовал exe в exz

CollectionLog-2015.03.27-22.59.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\User\appdata\roaming\identities\appservice.exe','');
QuarantineFile('C:\Users\User\appdata\roaming\identities\smfilter.exe','');
DeleteFile('C:\Users\User\appdata\roaming\identities\smfilter.exe','32');
DeleteFile('C:\Users\User\appdata\roaming\identities\appservice.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

[Yaroslav888]

файл отправил новые логи

KLAN-2631423130 Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

appservice.exe - Trojan-Downloader.MSIL.Agent.hqd
smfilter.exe - Trojan.MSIL.StartPage.bq

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

CollectionLog-2015.03.28-12.51.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Yaroslav888]

сделал

log.txt

[Roman_Five]

удалите ярлык

C:\Users\User\Desktop\MS Antivirus.lnk

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

Пофиксите в Hijackthis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ads.ads-ki.com
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

[Yaroslav888]

новые логи

ClearLNK-30.03.2015_13-24.log

[thyrex]

С расшифровкой не поможем.

Как вариант, http://virusinfo.info/showthread.php?t=156188