Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Ваши файлы были зашифрованы.

Alfakron
 Поделиться

Рекомендуемые сообщения

Alfakron

Alfakron

Опубликовано
Опубликовано

Столкнулся с такой проблемой. Проверил свой компьютер Dr.Web CureIt!. Обнаружил пару вирусов. Перезагрузил компьютер. После этого обнаружил, что мои файлы были зашифрованы. Не все. Что делать не представляю. Помогите. 

CollectionLog-2015.04.20-16.51.zip

thyrex

thyrex

Опубликовано
Опубликовано
Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



QuarantineFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','');

 QuarantineFile('C:\Users\Костя\appdata\roaming\ssleas.exe','');

 QuarantineFile('C:\iexplore.bat','');

 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');

 QuarantineFile('C:\Users\Костя\AppData\Local\Yandex\browser.bat','');

 QuarantineFile('C:\Users\Костя\tibcajadezti.exe','');

 DeleteFile('C:\Users\Костя\tibcajadezti.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tibcajadezti');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tibcajadezti','command');

 DeleteFile('C:\Users\Костя\AppData\Local\Yandex\browser.bat','32');

 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');

 DeleteFile('C:\iexplore.bat','32');

 DeleteFile('C:\Users\Костя\appdata\roaming\ssleas.exe','32');

 DeleteFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.
Компьютер перезагрузится.

 


Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.
c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)


 

Пофиксите в HiJack




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text={searchTerms}

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

O2 - BHO: IEExtension.Extension - {d40c654d-7c51-4eb3-95b2-1e23905c2a2d} - mscoree.dll (file missing)

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

  • Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

move.gif

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.


 


 

Сделайте новые логи по правилам
Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано

Дошёл до пункта 

c:\quarantine.zip отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
Я так понимаю нужно нажимать "Задать вопрос по продукту"
Если у меня не стоить Касперский? 

Всё остальное сделал как написано. Вот отсчёт по работе браузеров.

 


 

 

ClearLNK-21.04.2015_10-50.log

thyrex

thyrex

Опубликовано
Опубликовано

Я так понимаю нужно нажимать "Задать вопрос по продукту"

Проверить файл на наличие вируса. Хотя сервис не работает сейчас похоже и отправлять лучше по электронке

 

Новые логи по правилам почему не сделали?

Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано

Ответ на моё письмо: 
[KLAN-2702013588]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

-++ii7BYbG0kBnNn2qXLoeYsV2SRv5-e3ayQgzMiHEEAJj3IWrIDC-4uyyV9oUdfI-H+IuNg9exj8MQymukyJhbmrWhBbF6Izs217GevVO8XuMa5m296SChvIs--fI2ow6k8bEoDU96i2W6cuRJu9IlIx95tGZZJeRmvlBB6Joc=.xtbl,
browser.bat,
chrome.bat,
iexplore.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"



Если правильно понял, то вот новые логи. 

thyrex

thyrex

Опубликовано
Опубликовано

И где новые логи по правилам? В упор их не вижу :)

Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано

Выполнялись. 
Тут ещё второе письмо пришло. 
Здравствуйте,

browser.bat - Trojan-Clicker.BAT.Agent.bj
chrome.bat - Trojan-Clicker.BAT.Agent.bk
iexplore.bat - Trojan-Clicker.BAT.Agent.bl

Детектирование файла будет добавлено в следующее обновление.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

Best Regards, Cobber Tuo
Malware Analyst, Kaspersky Lab.

125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3  Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru

CollectionLog-2015.04.21-14.10.zip

thyrex

thyrex

Опубликовано
Опубликовано

Удалите вручную

C:\Users\Костя\AppData\Roaming\data13.dat

 

 

С расшифровкой не поможем.

Как вариант - восстановление из теневых копий

Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано (изменено)

Удалил файл. 
А как это восстановление делать? 
К сожалению тоже не выйдет, архивация не работает. Форматирование поможет избавиться от вируса? 

Изменено пользователем Alfakron
thyrex

thyrex

Опубликовано
Опубликовано

Вирусы удалили. Новая информация шифроваться не будет

Alfakron

Alfakron

Опубликовано
  • Автор
Опубликовано

Можно просто удалить все зашифрованные файлы? 
Благодарю Вас, что помогли. 

mike 1

mike 1

Опубликовано
Опубликовано

 

 

Можно просто удалить все зашифрованные файлы?

Да. 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • us_of
      Зашифрованы фотографии
      Автор us_of
      Здравствуйте.
       
      файлы переименовались в readme1,  readme2 и т.д.
       
      Текст в них такой
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 99158510F4059DBB9A36|0 на электронный адрес post8881@gmail.com или post24932@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации..   Помогите пожалуйста.   Логи и один зашифрованный файл прикрепил. Закинул его в архив, иначе пишет нельзя его прикрепить   Заранее благодарен. 1.rar
      CollectionLog-2015.07.13-18.59.zip
      README1.txt
    • qazqaz
      зашифрованные файлы README.TXT
      Автор qazqaz
      Появился баннер черного цвета, кроме того на компьютере все файлы зашифровались( как текстовые так и фотографии). у  фотографий появилось расширение xtbl
      делал скрипты которые указаны в ссылке http://forum.kasperskyclub.ru/index.php?showtopic=45128
      но ничего не помогло
      что делать?
       
      скрин1.docx
    • murnik
      Зашифрованы файлы .xtbl
      Автор murnik
      Добрый день. Сегодня утром, объявилась такая проблема на рабочем столе появилась надпись красными буквами на черном экране: Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы и + на английском. Файлы стали зашифрованы под таким разрешением .xbtl и появилась 10 файлом readme в котором написано:

       

      Ваши файлы были зашифрованы.

      Чтобы расшифровать их, Вам необходимо отправить код:
      B9586FA8D5AFC848E69D|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.  
      Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.
       
       
      All the important files on your computer were encrypted.
      To decrypt the files you should send the following code:
      17CD0BB751815826C592|0
      to e-mail address decode010@gmail.com or decode1110@gmail.com .
      Then you will receive all necessary instructions.
      All the attempts of decryption by yourself will result only in irrevocable loss of your data.
      CollectionLog-2015.07.16-12.13.zip
    • igor_stw
      шифрование файлов
      Автор igor_stw
      Здравствуйте!
       
      помогите пожалуйста, зашифрованы файлы. Образец файла и текст что предлагают делать прилагается.
      расширение поменялось расширение на xtbl.
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 4E27F3472F8722EBB629|0
      на электронный адрес decode010@gmail.com или decode1110@gmail.com .
      Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. 1.zip
    • kohb
      Шифровальщик
      Автор kohb
      Поймал вирус при скачивании драйверов для виеокарты
      CollectionLog-2015.07.15-00.56.zip
×
×
  • Создать...