MAFINYA Опубликовано 29 марта, 2015 Опубликовано 29 марта, 2015 Здравствуйте! Помогите, пожалуйста, расшифровать файлы фотографий. 27.03.2015 была атака, были получены файлы (10 штук) с содержанием: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: F7FE8FD0A39F97549F66|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Есть ли возможность восстановить файлы? Спасибо! CollectionLog-2015.03.29-16.00.zip БЕЛГОРОД.rar
thyrex Опубликовано 29 марта, 2015 Опубликовано 29 марта, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\Марина\AppData\Roaming\istartsurf\UninstallManager.exe',''); QuarantineFile('C:\Users\0D39~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('c:\progra~2\movies~1\datamngr\x64\mgrldr.dll',''); QuarantineFile('c:\progra~2\movies~1\datamngr\mgrldr.dll',''); QuarantineFile('C:\Users\Марина\AppData\Roaming\E616534A\bin.exe',''); QuarantineFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.emorhc.bat',''); QuarantineFile('C:\Users\Марина\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteService('QMUdisk'); DeleteService('bd0003'); DeleteService('BDEnhanceBoost'); DeleteService('cipexogy'); QuarantineFile('C:\Users\Марина\AppData\Roaming\VOPackage\nssF031.tmpfs',''); DeleteFile('C:\Users\Марина\AppData\Roaming\VOPackage\nssF031.tmpfs','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Марина\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\Марина\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Марина\AppData\Roaming\E616534A\bin.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','E616534A'); DeleteFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','32'); DeleteFile('c:\progra~2\movies~1\datamngr\x64\mgrldr.dll','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Users\0D39~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64'); DeleteFile('C:\Users\Марина\AppData\Roaming\istartsurf\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{9411A2D1-4199-4271-93AF-9DE83C5BFECC}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму.1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам
mike 1 Опубликовано 29 марта, 2015 Опубликовано 29 марта, 2015 + Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.
MAFINYA Опубликовано 29 марта, 2015 Автор Опубликовано 29 марта, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\Users\Марина\AppData\Roaming\istartsurf\UninstallManager.exe',''); QuarantineFile('C:\Users\0D39~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('c:\progra~2\movies~1\datamngr\x64\mgrldr.dll',''); QuarantineFile('c:\progra~2\movies~1\datamngr\mgrldr.dll',''); QuarantineFile('C:\Users\Марина\AppData\Roaming\E616534A\bin.exe',''); QuarantineFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.erolpxei.bat',''); QuarantineFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.emorhc.bat',''); QuarantineFile('C:\Users\Марина\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); QuarantineFile('C:\Program Files (x86)\Google\chrome.bat',''); DeleteService('QMUdisk'); DeleteService('bd0003'); DeleteService('BDEnhanceBoost'); DeleteService('cipexogy'); QuarantineFile('C:\Users\Марина\AppData\Roaming\VOPackage\nssF031.tmpfs',''); DeleteFile('C:\Users\Марина\AppData\Roaming\VOPackage\nssF031.tmpfs','32'); DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32'); DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32'); DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32'); DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\Users\Марина\AppData\Local\Amigo\Application\amigo.exe','32'); DeleteFile('C:\Users\Марина\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.emorhc.bat','32'); DeleteFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.erolpxei.bat','32'); DeleteFile('C:\Users\Марина\AppData\Roaming\E616534A\bin.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','E616534A'); DeleteFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','32'); DeleteFile('c:\progra~2\movies~1\datamngr\x64\mgrldr.dll','32'); DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Users\0D39~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64'); DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64'); DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64'); DeleteFile('C:\Users\Марина\AppData\Roaming\istartsurf\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{9411A2D1-4199-4271-93AF-9DE83C5BFECC}','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте через данную форму. 1. Выберите тип запроса "Запрос на исследование вредоносного файла". 2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина 4. Введите изображенное на картинке число и нажмите "Далее". 5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам Спасибо огромное за помощь. Только, пожалуйста, подскажите для среднего ума: что такое "выполните скрипт в AVZ?" Может есть ссылка, где я могу это прочитать?
thyrex Опубликовано 29 марта, 2015 Опубликовано 29 марта, 2015 http://forum.kasperskyclub.ru/index.php?showtopic=7607
MAFINYA Опубликовано 29 марта, 2015 Автор Опубликовано 29 марта, 2015 + Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Спасибо, что отозвались. Я всё сделала, файл прикрепляю. AdwCleanerR0.txt
MAFINYA Опубликовано 29 марта, 2015 Автор Опубликовано 29 марта, 2015 Новые логи где? Я отправила файл по запросу. Логи сформировала и прикрепила здесь. Но с последним заданием не могу справиться: не понятно какой файл перетащить Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. · Распакуйте архив с утилитой в отдельную папку. · Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке? Этого файла нет. Новые логи где? Я отправила файл по запросу. Логи сформировала и прикрепила здесь. Но с последним заданием не могу справиться: не понятно какой файл перетащить Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. · Распакуйте архив с утилитой в отдельную папку. · Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке? Этого файла нет. Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2634694991] CollectionLog-2015.03.29-22.12.zip
mike 1 Опубликовано 29 марта, 2015 Опубликовано 29 марта, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
MAFINYA Опубликовано 30 марта, 2015 Автор Опубликовано 30 марта, 2015 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите. AdwCleanerR1.txt AdwCleanerS0.txt
Roman_Five Опубликовано 30 марта, 2015 Опубликовано 30 марта, 2015 чисто. Есть ли возможность восстановить файлы? 2 варианта: 1) восстановить из резервных копий 2) заплатив злоумышленникам
MAFINYA Опубликовано 30 марта, 2015 Автор Опубликовано 30 марта, 2015 чисто. Есть ли возможность восстановить файлы? 2 варианта: 1) восстановить из резервных копий 2) заплатив злоумышленникам Спасибо большое! Резервные копии есть не на все, но а злоумышленникам мне платить нечем, я пенсионерка. Спасибо, что почистили. чисто. Есть ли возможность восстановить файлы? 2 варианта: 1) восстановить из резервных копий 2) заплатив злоумышленникам Спасибо огромное, что почистили ПК. Платить злоумышленникам не буду, чтобы не было дальнейшего желания выпрашивать деньги. Я пенсионерка и никого в этой жизни не обидела, учила детей. Вероятно, плохо учила, если еще такие остались. А Вам огромное спасибо за помощь. Впредь буду создавать резервные копии.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти