Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Ваши файлы были зашифрованы.

Alfakron
 Поделиться

Рекомендуемые сообщения

Alfakron

Alfakron

Опубликовано
Опубликовано

Столкнулся с такой проблемой. Проверил свой компьютер Dr.Web CureIt!. Обнаружил пару вирусов. Перезагрузил компьютер. После этого обнаружил, что мои файлы были зашифрованы. Не все. Что делать не представляю. Помогите. 

CollectionLog-2015.04.20-16.51.zip

thyrex

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



QuarantineFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','');

 QuarantineFile('C:\Users\Костя\appdata\roaming\ssleas.exe','');

 QuarantineFile('C:\iexplore.bat','');

 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');

 QuarantineFile('C:\Users\Костя\AppData\Local\Yandex\browser.bat','');

 QuarantineFile('C:\Users\Костя\tibcajadezti.exe','');

 DeleteFile('C:\Users\Костя\tibcajadezti.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tibcajadezti');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tibcajadezti','command');

 DeleteFile('C:\Users\Костя\AppData\Local\Yandex\browser.bat','32');

 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');

 DeleteFile('C:\iexplore.bat','32');

 DeleteFile('C:\Users\Костя\appdata\roaming\ssleas.exe','32');

 DeleteFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.
Компьютер перезагрузится.

 


Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)


 

Пофиксите в HiJack




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text={searchTerms}

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

O2 - BHO: IEExtension.Extension - {d40c654d-7c51-4eb3-95b2-1e23905c2a2d} - mscoree.dll (file missing)

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.


 


 

Сделайте новые логи по правилам
Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано

Дошёл до пункта 

c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
Я так понимаю нужно нажимать "Задать вопрос по продукту"
Если у меня не стоить Касперский? 

Всё остальное сделал как написано. Вот отсчёт по работе браузеров.

 


 

 

ClearLNK-21.04.2015_10-50.log

thyrex

thyrex

Опубликовано
Опубликовано

Я так понимаю нужно нажимать "Задать вопрос по продукту"

Проверить файл на наличие вируса. Хотя сервис не работает сейчас похоже и отправлять лучше по электронке

 

Новые логи по правилам почему не сделали?

Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано

Ответ на моё письмо: 
[KLAN-2702013588]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

-++ii7BYbG0kBnNn2qXLoeYsV2SRv5-e3ayQgzMiHEEAJj3IWrIDC-4uyyV9oUdfI-H+IuNg9exj8MQymukyJhbmrWhBbF6Izs217GevVO8XuMa5m296SChvIs--fI2ow6k8bEoDU96i2W6cuRJu9IlIx95tGZZJeRmvlBB6Joc=.xtbl,
browser.bat,
chrome.bat,
iexplore.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"



Если правильно понял, то вот новые логи. 

thyrex

thyrex

Опубликовано
Опубликовано

И где новые логи по правилам? В упор их не вижу :)

Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано

Выполнялись. 
Тут ещё второе письмо пришло. 
Здравствуйте,

browser.bat - Trojan-Clicker.BAT.Agent.bj
chrome.bat - Trojan-Clicker.BAT.Agent.bk
iexplore.bat - Trojan-Clicker.BAT.Agent.bl

Детектирование файла будет добавлено в следующее обновление.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

Best Regards, Cobber Tuo
Malware Analyst, Kaspersky Lab.

125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3  Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru

CollectionLog-2015.04.21-14.10.zip

thyrex

thyrex

Опубликовано
Опубликовано

Удалите вручную

C:\Users\Костя\AppData\Roaming\data13.dat

 

 

С расшифровкой не поможем.

Как вариант - восстановление из теневых копий

Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано (изменено)

Удалил файл. 
А как это восстановление делать? 
К сожалению тоже не выйдет, архивация не работает. Форматирование поможет избавиться от вируса? 

Изменено пользователем Alfakron
thyrex

thyrex

Опубликовано
Опубликовано

Вирусы удалили. Новая информация шифроваться не будет

Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано

Можно просто удалить все зашифрованные файлы? 
Благодарю Вас, что помогли. 

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Можно просто удалить все зашифрованные файлы?

Да. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • cobon
      xtbl шифровальщик помогите восстановить файлы
      Автор cobon
      Здравствуйте, прошу помощи в расшифровке файлов после вандализма шифровальщика. Компьютер чист проверен Антивирусом Касперского. Во вложении зашифрованный файл и файл READMY с требованиями. Очень надеюсь на Вашу помощь.
      README4.txt
       
      A+2T2uuqRDMDqQRGKmjVfsiIFIkJVIs6-2RHuM7Ede5S1kex57iHDRQ-SamWwVXjX-o5929ebVLOEqykuRInf4htQtdrLsEJybaxsBPZW6BrsKBSDND313nby-ey3K98hludhDOLC0BRs4y5zzNQew==.zip
    • Yad
      Вирус. Шифрованные файлы на диске
      Автор Yad
      Добрый день, словил вирус, зашифрованы все фотки, просьба помочь!
       
      Вот сообщение:
       
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      C04211E62E536BAB8A10|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
      CollectionLog-2015.07.13-11.47.zip
    • olegi
      xtbl шифровальщик помогите восстановить файлы
      Автор olegi
      Здравствуйте, прошу помощи в расшифровке файлов, очень надеюсь на Вашу помощь.
      Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код:
      38BA3B442DEEFAACE540|71|2|14
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      38BA3B442DEEFAACE540|71|2|14
      to e-mail address decode010@gmail.com or decode1110@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
       
      Сообщение от модератора Mark D. Pearlstone Не прикрепляйте quarantine.zip на форум. Файл удалён.
      13072814MАВМ.txt
      AdwCleanerR0.txt
      CollectionLog-2015.07.13-15.19.zip
      CollectionLog-2015.07.13-15.19.zip
    • mspuz
      Зашифровали файлы.
      Автор mspuz
      Добрый день. Принесли ноутбук, на котором зашифрованы файлы (в основном изображения и документы). Что я сделал:
       
      1. Очистил от всех временных файлов.
      2. Почистил автозагрузку, службы, планировщик.
      3. Прошелся CureIt
      4. Собрал логи.
       
      На данный момент подозрительной активности не заметно, но основная проблема - попытаться расшифровать файлы, возможно ли это? Спасибо.
       
      В файлах Readme написана вот такая инфа:
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 406D46D2AAF6030133D1|272|2|15 на электронный адрес post8881@gmail.com или post24932@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     На всякий случай прилагаю логи и от FRST. CollectionLog-2015.07.12-15.56.zip
      frst.rar
    • niknasmak
      Файлы зашифрованы
      Автор niknasmak
      Помогите! Вот логи.
      Addition.txt
      FRST.txt
×
×
  • Создать...