ransom.shade Ваши файлы были зашифрованы.

[Alfakron]

Столкнулся с такой проблемой. Проверил свой компьютер Dr.Web CureIt!. Обнаружил пару вирусов. Перезагрузил компьютер. После этого обнаружил, что мои файлы были зашифрованы. Не все. Что делать не представляю. Помогите. 

CollectionLog-2015.04.20-16.51.zip

[thyrex]

Выполните скрипт в AVZ

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

   SearchRootkit(true, true);

   SetAVZGuardStatus(True);

  end;



QuarantineFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','');

 QuarantineFile('C:\Users\Костя\appdata\roaming\ssleas.exe','');

 QuarantineFile('C:\iexplore.bat','');

 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');

 QuarantineFile('C:\Users\Костя\AppData\Local\Yandex\browser.bat','');

 QuarantineFile('C:\Users\Костя\tibcajadezti.exe','');

 DeleteFile('C:\Users\Костя\tibcajadezti.exe','32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tibcajadezti');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tibcajadezti','command');

 DeleteFile('C:\Users\Костя\AppData\Local\Yandex\browser.bat','32');

 DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');

 DeleteFile('C:\iexplore.bat','32');

 DeleteFile('C:\Users\Костя\appdata\roaming\ssleas.exe','32');

 DeleteFile('C:\Users\Костя\appdata\roaming\x11\engine.exe','32');



 BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(false);

end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin

CreateQurantineArchive('c:\quarantine.zip');

end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text={searchTerms}

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text={searchTerms}

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

O2 - BHO: IEExtension.Extension - {d40c654d-7c51-4eb3-95b2-1e23905c2a2d} - mscoree.dll (file missing)

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe

O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=80fb7cf44984e650262679e15a94d27f&text=

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

Прикрепите этот отчет к своему следующему сообщению.

 

 

Сделайте новые логи по правилам

[Alfakron]

Дошёл до пункта 

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".
Я так понимаю нужно нажимать "Задать вопрос по продукту"
Если у меня не стоить Касперский? 

Всё остальное сделал как написано. Вот отсчёт по работе браузеров.

 

 

 

ClearLNK-21.04.2015_10-50.log

[thyrex]

Я так понимаю нужно нажимать "Задать вопрос по продукту"

Проверить файл на наличие вируса. Хотя сервис не работает сейчас похоже и отправлять лучше по электронке

 

Новые логи по правилам почему не сделали?

[Alfakron]

Ответ на моё письмо: 
[KLAN-2702013588]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

-++ii7BYbG0kBnNn2qXLoeYsV2SRv5-e3ayQgzMiHEEAJj3IWrIDC-4uyyV9oUdfI-H+IuNg9exj8MQymukyJhbmrWhBbF6Izs217GevVO8XuMa5m296SChvIs--fI2ow6k8bEoDU96i2W6cuRJu9IlIx95tGZZJeRmvlBB6Joc=.xtbl,
browser.bat,
chrome.bat,
iexplore.bat

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"



Если правильно понял, то вот новые логи. 

[thyrex]

И где новые логи по правилам? В упор их не вижу

[Alfakron]

Выполнялись. 
Тут ещё второе письмо пришло. 
Здравствуйте,

browser.bat - Trojan-Clicker.BAT.Agent.bj
chrome.bat - Trojan-Clicker.BAT.Agent.bk
iexplore.bat - Trojan-Clicker.BAT.Agent.bl

Детектирование файла будет добавлено в следующее обновление.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ssleas.exe - Trojan.Win32.Kesels.a

Детектирование файла будет добавлено в следующее обновление.

Best Regards, Cobber Tuo
Malware Analyst, Kaspersky Lab.

125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3  Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ruhttp://www.viruslist.ru

CollectionLog-2015.04.21-14.10.zip

[thyrex]

Удалите вручную

C:\Users\Костя\AppData\Roaming\data13.dat

 

 

С расшифровкой не поможем.

Как вариант - восстановление из теневых копий

[Alfakron]

Удалил файл. 
А как это восстановление делать? 
К сожалению тоже не выйдет, архивация не работает. Форматирование поможет избавиться от вируса? 

Изменено 21 апреля, 2015 пользователем Alfakron

[thyrex]

Вирусы удалили. Новая информация шифроваться не будет

[Alfakron]

Можно просто удалить все зашифрованные файлы? 
Благодарю Вас, что помогли. 

[mike 1]

 

 

Можно просто удалить все зашифрованные файлы?

Да.