Ваши файлы были зашифрованы.

20 апреля, 2015

Столкнулся с такой проблемой. Проверил свой компьютер Dr.Web CureIt!. Обнаружил пару вирусов. Перезагрузил компьютер. После этого обнаружил, что мои файлы были зашифрованы. Не все. Что делать не представляю. Помогите.

CollectionLog-2015.04.20-16.51.zip

20 апреля, 2015

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



QuarantineFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','');

 QuarantineFile('C:\Users\Костя\appdata\roaming\ssleas.exe','');

 QuarantineFile('C:\iexplore.bat','');

 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');

 QuarantineFile('C:\Users\Костя\AppData\Local\Yandex\browser.bat','');

 QuarantineFile('C:\Users\Костя\tibcajadezti.exe','');

 DeleteFile('C:\Users\Костя\tibcajadezti.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tibcajadezti');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tibcajadezti','command');

 DeleteFile('C:\Users\Костя\AppData\Local\Yandex\browser.bat','32');

 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');

 DeleteFile('C:\iexplore.bat','32');

 DeleteFile('C:\Users\Костя\appdata\roaming\ssleas.exe','32');

 DeleteFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Пофиксите в HiJack



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text={searchTerms}

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

O2 - BHO: IEExtension.Extension - {d40c654d-7c51-4eb3-95b2-1e23905c2a2d} - mscoree.dll (file missing)

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

Сделайте новые логи по правилам

21 апреля, 2015

Дошёл до пункта

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".
Я так понимаю нужно нажимать "Задать вопрос по продукту"
Если у меня не стоить Касперский?

Всё остальное сделал как написано. Вот отсчёт по работе браузеров.

ClearLNK-21.04.2015_10-50.log

21 апреля, 2015

Я так понимаю нужно нажимать "Задать вопрос по продукту"

Проверить файл на наличие вируса. Хотя сервис не работает сейчас похоже и отправлять лучше по электронке

Новые логи по правилам почему не сделали?

21 апреля, 2015

Ответ на моё письмо:
[KLAN-2702013588]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

-++ii7BYbG0kBnNn2qXLoeYsV2SRv5-e3ayQgzMiHEEAJj3IWrIDC-4uyyV9oUdfI-H+IuNg9exj8MQymukyJhbmrWhBbF6Izs217GevVO8XuMa5m296SChvIs--fI2ow6k8bEoDU96i2W6cuRJu9IlIx95tGZZJeRmvlBB6Joc=.xtbl,
browser.bat,
chrome.bat,
iexplore.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Если правильно понял, то вот новые логи.

21 апреля, 2015

И где новые логи по правилам? В упор их не вижу

21 апреля, 2015

Выполнялись.
Тут ещё второе письмо пришло.
Здравствуйте,

browser.bat - Trojan-Clicker.BAT.Agent.bj
chrome.bat - Trojan-Clicker.BAT.Agent.bk
iexplore.bat - Trojan-Clicker.BAT.Agent.bl

Детектирование файла будет добавлено в следующее обновление.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

Best Regards, Cobber Tuo
Malware Analyst, Kaspersky Lab.

125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru

CollectionLog-2015.04.21-14.10.zip

21 апреля, 2015

Удалите вручную

C:\Users\Костя\AppData\Roaming\data13.dat

С расшифровкой не поможем.

Как вариант - восстановление из теневых копий

21 апреля, 2015

Удалил файл.
А как это восстановление делать?
К сожалению тоже не выйдет, архивация не работает. Форматирование поможет избавиться от вируса?

Изменено 21 апреля, 2015 пользователем Alfakron

21 апреля, 2015

Вирусы удалили. Новая информация шифроваться не будет

21 апреля, 2015

Можно просто удалить все зашифрованные файлы?
Благодарю Вас, что помогли.

21 апреля, 2015

Можно просто удалить все зашифрованные файлы?

Да.

Ваши файлы были зашифрованы.

Рекомендуемые сообщения

Alfakron

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Alfakron

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Alfakron

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Alfakron

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Alfakron

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Alfakron

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum