Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Зашифровались файлы на компьютере

pastral
 Поделиться

Рекомендуемые сообщения

pastral

pastral

Опубликовано
Опубликовано

Доброго времени суток. Словил шифровальщика. Все *txt, *rar и изображения стали XTLB. Компьютер лечил авастом и CureIT. Лог AVZ прикладываю.

CollectionLog-2015.04.02-22.36.zip

Roman_Five

Roman_Five

Опубликовано
Опубликовано
Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.
 
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\Program Files\Moo0\RightClicker Pro 1.46\RightClicker.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\system.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\system.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\RunAsStdUser Task','32');
 DeleteFile('C:\Program Files\Moo0\RightClicker Pro 1.46\RightClicker.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.
 
Порядок действий на портале My Kaspersky::

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

 
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O3 - Toolbar: (no name) - {C98EE38D-21E4-4A50-907D-2B56FEC7013E} - (no file)
O3 - Toolbar: gtavicecity - {961a325c-7fdf-4a82-b0b5-43e136f4edb1} - C:\Program Files\gtavicecity Toolbar\rubar.dll
O18 - Protocol: rubar - {7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} - C:\Program Files\gtavicecity Toolbar\rubar.dll
 
Сделайте новые логи по правилам (только пункт 2).
 
+ логи AdwCleaner и FRSR
 
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696

Roman_Five

Roman_Five

Опубликовано
Опубликовано

удалите всё найденное в AdwCleaner

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635160


\\

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

Task: {4BC7E9CC-FF5D-48A9-863D-D6E69541860F} - \RunAsStdUser Task No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT
AlternateDataStreams: C:\ProgramData:NT2
AlternateDataStreams: C:\Users\All Users:NT
AlternateDataStreams: C:\Users\All Users:NT2
AlternateDataStreams: C:\Users\Все пользователи:NT
AlternateDataStreams: C:\Users\Все пользователи:NT2
AlternateDataStreams: C:\ProgramData\Application Data:NT
AlternateDataStreams: C:\ProgramData\Application Data:NT2
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2
HKLM\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF
SearchScopes: HKU\S-1-5-21-1332336934-4252269549-840028924-1003 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CPNTDF
S1 adgnetworktdi; system32\drivers\adgnetworktdi.sys [X]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X]
2015-03-31 17:58 - 2015-03-31 17:58 - 00000000 __SHD () C:\Users\Все пользователи\Windows
2015-03-31 17:58 - 2015-03-31 17:58 - 00000000 __SHD () C:\ProgramData\Windows

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Popay
      Вирус шифровальщик
      Автор Popay
      Доброго времени суток, поймал щифровальщика. Все файлы защифрованы.
      CollectionLog-2015.07.13-23.53.zip
    • Андрей Ионов
      Словил вирус-шифровщик, нужна помощь
      Автор Андрей Ионов
      Словил в интернете вирус, который зашифровал все личные данные (документы, фото, видео, музыку) и создал в каждом диске 10 текстовых readme файлов со следующим текстом:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: E7ECF7BA5E98474A04B5|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: E7ECF7BA5E98474A04B5|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Прочел форум, сказано было, что для каждого случая подобного отдельную тему создавать для возможности восстановления данных. Скачал с вашего сайта автологер, в приложении лог его работы.   Очень надеюсь на вашу помощь и заранее благодарю за поддержку. CollectionLog-2015.07.11-22.23.zip
    • loyrew
      Вирус зашифровал фалы на компьютере
      Автор loyrew
      Зашифрованы файлы на компьютере с расширением .xtbl. В корне папок размещения файлы readme, следующего содержания:
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: C7373C70FB5BDE6F416D|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: C7373C70FB5BDE6F416D|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. CollectionLog-2015.07.15-14.15.zip
    • John Booht
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 65647DEA50A5EAEB170D|0 на электронный адрес files08880@gmail.com или
      Автор John Booht
      Добрый день!
      Скачал програмку, на рабочем столе вместо обоев висит сообщение:
      Внимание, все ваши файлы были зашифрованы, подробности Вы можете прочитать в файле Redme.txt
      и перевод на английском.
       в файле  Redme.txt. вот такое сообщение:
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 65647DEA50A5EAEB170D|0 на электронный адрес files08880@gmail.com или files08881@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 65647DEA50A5EAEB170D|0 to e-mail address files08880@gmail.com or files08881@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. Прошу понять и помочь в лечении данного любимчика!    
      DIREKTORPC_Direktor_150715_092145_info.rar
    • Gagarinn1974
      зашифрованы файлы post8881. прошу помочь
      Автор Gagarinn1974
      Здравствуте.
      Появилось на мониторе сообщение, что файлы зашифрованы, все инструкции по адресу  post8881@gmail.
      Выполнил действия, изложенные в http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url].
      Архив лог-файлов прилагаю.
      Помогите, кто может.
      Кто может, помогите.
      CollectionLog-2015.07.09-10.29.zip
×
×
  • Создать...