Файлы зашифрованы, логи собрал.

[olkorg]

Добрый день, хотя уже и не добрый, с работы переслали письмо, там архив прикреплен, открыл - выхватил баннер "твои файлы зашифрованы и тд и тп". По инструкции проверил касперским, был найден и помещен на карантин один файл, потом по инструкции собрал логи. Во время проверки снимал скриншоты, прикрепил на всякий.Что дальше не знаю. Зашифрованы rar-архивы, фотки, может еще какие типы файлов.Логи делал программой "AutoLogger" и "AutoLogger-test" - прикладываю оба.

CollectionLog-2015.05.05-16.33.zip

CollectionLog-2015.05.05-16.37.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Program Files (x86)\informer.exe','');
 DeleteFile('C:\Program Files (x86)\informer.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи Автологгером. 

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[olkorg]

Добрый вечер, AVZ все создал, но при нажатии на ссылку " данную форму." и регистрации не вижу пунктов указанных в инструкции, И тип запроса "Запрос на исследование вредоносного файла тоже нет. Как быть. Извините.

quarantine.zip

[thyrex]

Карантин пустой. Ждем новые логи

[olkorg]

Продолжил по инструкции. Прикрепляю файлы.

CollectionLog-2015.05.05-18.18.zip

CollectionLog-2015.05.05-18.20.zip

FRST.txt

[thyrex]

Лог Addition.txt не прислали

[olkorg]

У AVZ действительно архив пустой, но до этого по инструкции я выполнил проверку KVRT там в карантине что-то есть, сжимаю и прикрепляю. Извините еще раз.

Волнуюсь просто, вот. Первый раз так. Все фотки семейные. (((

Подскажите, мне еще что-то сделать надо или просто ждать?

Addition.txt

[thyrex]

Карантин отправьте по адресу newvirus@kaspersky.com

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
2015-05-05 15:15 - 2015-05-05 15:15 - 00156286 _____ () C:\Program Files (x86)\desk1.bmp
2015-03-17 11:53 - 2015-03-17 11:53 - 00000000 ____H () C:\Windows\system32\Drivers\Msft_Kernel_SynTP_01009.Wdf
D:\Users\Oops\AppData\Local\Temp\informer.exe
2015-05-05 15:15 - 2015-05-05 15:15 - 0156286 _____ () C:\Program Files (x86)\desk.jpg
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[olkorg]

Выполнил.

Fixlog.txt

[thyrex]

С расшифровкой не поможем

[olkorg]

Нашел то письмо с которого все началось, могу переслать если надо, только скажите куда, может поможет.

Нашел то письмо с которого все началось, могу переслать если надо, только скажите куда, может поможет.

[thyrex]

Не поможет, увы

[olkorg]

Даже если подождать то без вариантов?

[thyrex]

Именно так, увы

[olkorg]

Извините за настойчивость, я перечитал инструкцию - в программах для логов я точно не все галочки поставил, волновался просто, может мне логи правильно сделать? Извините еще раз.

Могу и файл из карантина восстановить на тоже место.

Изменено 5 мая, 2015 пользователем olkorg