Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте! Помогите, пожалуйста, расшифровать файлы фотографий. 27.03.2015 была атака, были получены файлы (10 штук) с содержанием: Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:
F7FE8FD0A39F97549F66|0
на электронный адрес decode00001@gmail.com или decode00002@gmail.com .
Далее вы получите все необходимые инструкции.  
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
Есть ли возможность восстановить файлы? Спасибо!

CollectionLog-2015.03.29-16.00.zip

БЕЛГОРОД.rar

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Марина\AppData\Roaming\istartsurf\UninstallManager.exe','');
QuarantineFile('C:\Users\0D39~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\progra~2\movies~1\datamngr\x64\mgrldr.dll','');
QuarantineFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','');
QuarantineFile('C:\Users\Марина\AppData\Roaming\E616534A\bin.exe','');
QuarantineFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\Марина\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
DeleteService('QMUdisk');
DeleteService('bd0003');
DeleteService('BDEnhanceBoost');
DeleteService('cipexogy');
QuarantineFile('C:\Users\Марина\AppData\Roaming\VOPackage\nssF031.tmpfs','');
DeleteFile('C:\Users\Марина\AppData\Roaming\VOPackage\nssF031.tmpfs','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Марина\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Марина\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Марина\AppData\Roaming\E616534A\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','E616534A');
DeleteFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','32');
DeleteFile('c:\progra~2\movies~1\datamngr\x64\mgrldr.dll','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Users\0D39~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64');
DeleteFile('C:\Users\Марина\AppData\Roaming\istartsurf\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{9411A2D1-4199-4271-93AF-9DE83C5BFECC}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.
  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
    move.gif
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты

+

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

 
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Марина\AppData\Roaming\istartsurf\UninstallManager.exe','');
QuarantineFile('C:\Users\0D39~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\progra~2\movies~1\datamngr\x64\mgrldr.dll','');
QuarantineFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','');
QuarantineFile('C:\Users\Марина\AppData\Roaming\E616534A\bin.exe','');
QuarantineFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.emorhc.bat','');
QuarantineFile('C:\Users\Марина\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\ProgramData\Windows\csrss.exe','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
DeleteService('QMUdisk');
DeleteService('bd0003');
DeleteService('BDEnhanceBoost');
DeleteService('cipexogy');
QuarantineFile('C:\Users\Марина\AppData\Roaming\VOPackage\nssF031.tmpfs','');
DeleteFile('C:\Users\Марина\AppData\Roaming\VOPackage\nssF031.tmpfs','32');
DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32');
DeleteFile('C:\Windows\system32\drivers\BDEnhanceBoost.sys','32');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\ProgramData\Windows\csrss.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Users\Марина\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Марина\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Марина\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Марина\AppData\Roaming\E616534A\bin.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','E616534A');
DeleteFile('c:\progra~2\movies~1\datamngr\mgrldr.dll','32');
DeleteFile('c:\progra~2\movies~1\datamngr\x64\mgrldr.dll','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Users\0D39~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64');
DeleteFile('C:\Users\Марина\AppData\Roaming\istartsurf\UninstallManager.exe','32');
DeleteFile('C:\Windows\system32\Tasks\{9411A2D1-4199-4271-93AF-9DE83C5BFECC}','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

 

  • Распакуйте архив с утилитой в отдельную папку.

     

     

  • Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

     

    move.gif

     

  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

     

     

  • Прикрепите этот отчет к своему следующему сообщению.

     

     

 

 

Сделайте новые логи по правилам

Спасибо огромное за помощь. Только, пожалуйста, подскажите для среднего ума: что такое "выполните скрипт в AVZ?" Может есть ссылка, где я могу это прочитать?

Ссылка на комментарий
Поделиться на другие сайты

 

+

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.

 

Спасибо, что отозвались. Я всё сделала, файл прикрепляю.

AdwCleanerR0.txt

Ссылка на комментарий
Поделиться на другие сайты

Новые логи где?

Я отправила файл по запросу. Логи сформировала и прикрепила здесь. Но с последним заданием не могу справиться: не понятно какой файл перетащить 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

·         Распакуйте архив с утилитой в отдельную папку.

·         Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке?

Этого файла нет.

 

Новые логи где?

Я отправила файл по запросу. Логи сформировала и прикрепила здесь. Но с последним заданием не могу справиться: не понятно какой файл перетащить 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

·         Распакуйте архив с утилитой в отдельную папку.

·         Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке?

Этого файла нет.

 

Re: [VirLabSRF][Malicious file analysis][M:1][LN:RU][L:0] [KLAN-2634694991]

CollectionLog-2015.03.29-22.12.zip

Ссылка на комментарий
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Ссылка на комментарий
Поделиться на другие сайты

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

 

AdwCleanerR1.txt

AdwCleanerS0.txt

Ссылка на комментарий
Поделиться на другие сайты

чисто.

 

 


Есть ли возможность восстановить файлы?

2 варианта:

1) восстановить из резервных копий

2) заплатив злоумышленникам

Ссылка на комментарий
Поделиться на другие сайты

чисто.

 

 

Есть ли возможность восстановить файлы?

2 варианта:

1) восстановить из резервных копий

2) заплатив злоумышленникам

Спасибо большое! Резервные копии есть не на все, но а злоумышленникам мне платить нечем, я пенсионерка. Спасибо, что почистили.

чисто.

 

 

Есть ли возможность восстановить файлы?

2 варианта:

1) восстановить из резервных копий

2) заплатив злоумышленникам

Спасибо огромное, что почистили ПК. Платить злоумышленникам не буду, чтобы не было дальнейшего желания выпрашивать деньги. Я пенсионерка и никого в этой жизни не обидела, учила детей. Вероятно, плохо учила, если еще такие остались. А Вам огромное спасибо за помощь. Впредь буду создавать резервные копии.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • Александр94
      От Александр94
      Поймаи шифровальщик один в один как в теме  
       
      csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar csb.log.[MJ-UE8059316472](decodehop@gmail.com ).rar FRST.txt Addition.txt
    • Forrestem
      От Forrestem
      В МО одна особа скачала письмо из папки спам, в следствии чего поймала вирус шифровальщик, вопрос, есть ли возможность как то восстановить данные?
      Addition.txt FRST.txt
    • Radik_Gilmanov
      От Radik_Gilmanov
      все файлы зашифрованы с расширением wbmVRwkmD, нужна помощь в расшифровке 
      А.Даутов.rar FRST_17-10-2024 23.55.28.txt
       
×
×
  • Создать...