Поймал вирус-шифровальщик.

28 марта, 2015

Поймал вирус .

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

86AB3A8BA4DF17498F7E|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Тип названия файла : +5MswCze9n8FL54-hoI7mI2i9XwR+WUxqBQgbsbSIpM=.xtbl

Сам файл:

зашифрованный файл.rar

28 марта, 2015

Порядок оформления запроса о помощи

28 марта, 2015

Попал вирус-шифровальщик.

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

86AB3A8BA4DF17498F7E|0

на электронный адрес decode00001@gmail.com или decode00002@gmail.com .

Далее вы получите все необходимые инструкции.

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2015.03.28-11.33.zip

28 марта, 2015

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 QuarantineFile('D:\autorun.inf','');
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Dorrible\Ribble\d.exe','');
 QuarantineFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('C:\Windows\system32\sdclt.exe','');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Gameo\gameo.dat','');
 QuarantineFile('C:\Users\Administrator\AppData\Roaming\Gameo\gameo.exe','');
 QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
 QuarantineFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','');
 QuarantineFile('c:\users\administrator\appdata\local\temp\1D3B0B456.sys','');
 QuarantineFile('C:\Users\ADMINI~1\AppData\Local\Temp\1D65ABCE9.sys','');
 DeleteFile('C:\PROGRA~2\SupTab\SEARCH~1.DLL','32');
 DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Gameo\gameo.exe','32');
 DeleteFile('C:\Users\Administrator\AppData\Roaming\Gameo\gameo.dat','32');
 DeleteFile('C:\Windows\Tasks\Dealply.job','64');
 DeleteFile('C:\Users\ADMINI~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Users\ADMINI~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
 DeleteFile('C:\Windows\Tasks\RegClean Pro_DEFAULT.job','64');
 DeleteFile('C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe','32');
 DeleteFile('C:\Windows\Tasks\RegClean Pro_UPDATES.job','64');
 DeleteFile('C:\Windows\Tasks\UpdaterEX.job','64');
 DeleteFile('C:\Users\ADMINI~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\system32\Tasks\Dealply','64');
 DeleteFile('C:\Windows\system32\Tasks\DealPlyUpdate','64');
 DeleteFile('C:\Program Files (x86)\DealPly\DealPlyUpdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Digital Sites','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Client Server Runtime Subsystem','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gameo','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.

Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;

2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;

3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;

4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;

5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку Загрузить.

Важно: размер архива не должен превышать 15 МБ;

6) В строке EMail укажите адрес своей электронной почты;

7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;

2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.

Важно: размер архива не должен превышать 12 МБ;

3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.

4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duba.com/?f=unchie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.sweet-page.com/web/?type=ds&ts=1401007864&from=cor&uid=ST3500320AS_5QM1B3KLXXXX5QM1B3KL&q={searchTerms}
O8 - Extra context menu item: Скачать с Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O20 - AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~1.DLL

Выполните скрипт в AVZ

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else 
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin 
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

полученный лог fystemRoot.log из папки AVZ приложите.

Сделайте новые логи по правилам (только пункт 3).

+ логи FRST

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Поймал вирус-шифровальщик.

Рекомендуемые сообщения

nara2111

Mark D. Pearlstone

nara2111

Roman_Five

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum