Перейти к содержанию

Вирус изменил расширения всех файлов фотографий *.jpg на *.jpg.lcrccul


Рекомендуемые сообщения

Опубликовано

В зашифрованых папках появился текстовый файл такого содержания

Your documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer.

Private decryption key is stored on a secret Internet server and nobody can
decrypt your files until you pay and obtain the private key.

If you see the main locker window, follow the instructions on the locker.
Overwise, it's seems that you or your antivirus deleted the locker program.
Now you have the last chance to decrypt your files.

Open http://uw2kdu43jtxssofz.onion.cabor http://uw2kdu43jtxssofz.tor2web.org
in your browser. They are public gates to the secret server.

If you have problems with gates, use direct connection:

1. Download Tor Browser from http://torproject.org

2. In the Tor Browser open the http://uw2kdu43jtxssofz.onion/
Note that this server is available via Tor Browser only.
Retry in 1 hour if site is not reachable.

Copy and paste the following public key in the input form on server. Avoid missprints.
D5TOBB-GTP6S3-DINMQ4-N5UB2S-Q7PELW-WBJNFA-XPVFKO-TSX4WR
VAFIYC-LEFP7P-BNUCTC-LZ6LH2-U4CEZD-KXVLCN-KDJO5Q-46QQHJ
PZXNJ3-TVFA2J-6MRWOL-MTLJGU-RLPTG6-XB5CLS-RS77HF-TE2EBJ

Follow the instructions on the server.


логи


два подозрительных файла переименовал exe в exz

CollectionLog-2015.03.27-22.59.zip

Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\User\appdata\roaming\identities\appservice.exe','');
QuarantineFile('C:\Users\User\appdata\roaming\identities\smfilter.exe','');
DeleteFile('C:\Users\User\appdata\roaming\identities\smfilter.exe','32');
DeleteFile('C:\Users\User\appdata\roaming\identities\appservice.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Опубликовано

файл отправил новые логи


KLAN-2631423130 Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.   На запросы от лицензионных пользователей, которые были отправлены из Личного Кабинета https://my.kaspersky.com/ru/support/viruslab, или из CompanyAccount (https://companyaccount.kaspersky.com) будет предоставлен дополнительный ответ от вирусного аналитика.

appservice.exe - Trojan-Downloader.MSIL.Agent.hqd
smfilter.exe - Trojan.MSIL.StartPage.bq

Детектирование файлов будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

CollectionLog-2015.03.28-12.51.zip

Опубликовано

удалите ярлык

C:\Users\User\Desktop\MS Antivirus.lnk
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ads.ads-ki.com
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • giamamu
      Автор giamamu
      Привет всем!
       
      подцепил вирус криптер! все файлы зашифрованы. утилиты Касперского распознают закриптованные файлы но не могут их расшифровать или что не понимаю. утилита сканер пишет количество и всё. decryptcryptolocker вообще не распознает. порылся в инете с таким расширением утилит нету вообще. ссылка на декрипт злоумышленника с кодом не активная видно срок прошел или что не знаю может кто сможет помочь? прикрепляю сам зашифрованный файл. расширение странное descktop 001.JPG.jokryvl
      descktop 001.JPG.rar
    • Pten4ik55
      Автор Pten4ik55
      Помогите раскодировать файлы на компьютере. Все расширения стали ".beuqguc", сам вирус был удален. Помогите не знаю что делать!!!
    • baza450
      Автор baza450
      Добрый день. Зашифровало документы. Расширение всех документов теперь *.Lqroqia
      Как лечить эту напасть.
      Я не знаю, какую еще необходимо прикладывать информацию. Первый раз на вашем форуме и первый раз столкнулся с такой проблемой.

      Читаю "Чаво". выполню размещенные там рекомендации и прикреплю к теме
    • Vladlak
      Автор Vladlak
      Компьютер был заражён winlocker, после удаления файлы doc,JPG,txt были зашифровывание, в конце имя файла написано  nzxuydn.
      http://www.getsysteminfo.com/read.php?file=2cb2d33026a3f96e639a812f09eaafb8
      GetSystemInfo_MICROSOF-66D3AC_Admin_2015_04_21_14_54_56.zip
      CollectionLog-2015.04.21-15.22.zip
    • Helper81
      Автор Helper81
      Добрый день.
      Один из пользователей поймал мэйловский вирус (открыла письмецо после которого начались изменения), после чего пришлось сначала его убивать и откатывать систему, но самое плохое началось потом после отката и убийства вируса (если честно даже не помню как назывался) все файлы (текстовики презентации pdf и т.д.) сначала получили  дополнение к расширению .PBEOXMC и произошла смена шифрования файлов,т.е. даже если это дополнение убираешь и появляется уже нормальный тип файла то информация в нем все равно зашифрована, при нажатии на восстановление предыдущей версии файла также было все сброшено,  еще отметил после удаления вируса были сброшены точки восстановления системы. Конечно еще не все варианты перепробовал, но я так понимаю своими силами вряд ли справлюсь. Отчет от программы AVZ в приложении.
      avz.rar
×
×
  • Создать...