logokiller Опубликовано 15 мая, 2015 Share Опубликовано 15 мая, 2015 Зашифровались файлы в xtbl что мне сделать какие документы предоставить Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 15 мая, 2015 Share Опубликовано 15 мая, 2015 https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] - правила Ссылка на комментарий Поделиться на другие сайты More sharing options...
logokiller Опубликовано 15 мая, 2015 Автор Share Опубликовано 15 мая, 2015 Лог CollectionLog-2015.05.15-22.26.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 15 мая, 2015 Share Опубликовано 15 мая, 2015 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); TerminateProcessByName('c:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\system.pif'); QuarantineFile('c:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\system.pif',''); TerminateProcessByName('c:\users\1\appdata\roaming\ssleas.exe'); QuarantineFile('c:\users\1\appdata\roaming\ssleas.exe',''); TerminateProcessByName('c:\users\1\appdata\roaming\cppredistx86.exe'); QuarantineFile('c:\users\1\appdata\roaming\cppredistx86.exe',''); DeleteFile('c:\users\1\appdata\roaming\cppredistx86.exe','32'); DeleteFile('c:\users\1\appdata\roaming\ssleas.exe','32'); DeleteFile('c:\users\1\appdata\roaming\microsoft\windows\start menu\programs\startup\system.pif','32'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Visual C++ 2010'); DeleteFile('C:\windows\Tasks\Digital Sites.job','64'); DeleteFile('C:\windows\system32\Tasks\Digital Sites','64'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
logokiller Опубликовано 15 мая, 2015 Автор Share Опубликовано 15 мая, 2015 [KLAN-2766371933] Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.cppredistx86.exe - Trojan-Downloader.Win32.Delf.bbmtssleas.exe - Trojan.Win32.Kesels.aДетектирование файлов будет добавлено в следующее обновление.csrss.exe,system.pifПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.С уважением, Лаборатория Касперского AdwCleanerS0.txt CollectionLog-2015.05.15-23.34.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 15 мая, 2015 Share Опубликовано 15 мая, 2015 Загрузку карантина продублируйте через эту форму. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. 2 Ссылка на комментарий Поделиться на другие сайты More sharing options...
logokiller Опубликовано 15 мая, 2015 Автор Share Опубликовано 15 мая, 2015 (изменено) Qurantine загружен на virusinfo Addition.txt FRST.txt Изменено 15 мая, 2015 пользователем logokiller Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 15 мая, 2015 Share Опубликовано 15 мая, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: CloseProcesses: S3 4AA2893; \?\C:\windows\TEMP\4AA2893.sys [X] S3 4AAA480; \?\C:\windows\TEMP\4AAA480.sys [X] S3 5582EAD; \?\C:\windows\TEMP\5582EAD.sys [X] S3 57D5E57; \?\C:\windows\TEMP\57D5E57.sys [X] S3 603498A; \?\C:\windows\TEMP\603498A.sys [X] S3 63D5121; \?\C:\windows\TEMP\63D5121.sys [X] S3 73ED8BF; \?\C:\windows\TEMP\73ED8BF.sys [X] 2015-05-15 21:11 - 2015-05-15 21:11 - 03148854 _____ () C:\Users\1\AppData\Roaming\27FE4BB727FE4BB7.bmp 2015-01-21 18:39 - 2015-01-21 18:39 - 0442896 _____ () C:\Users\1\AppData\Roaming\data13.dat Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
logokiller Опубликовано 16 мая, 2015 Автор Share Опубликовано 16 мая, 2015 Сделано Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
mike 1 Опубликовано 16 мая, 2015 Share Опубликовано 16 мая, 2015 Логи в порядке. С расшифровкой не поможем. Как вариант, http://virusinfo.info/showthread.php?t=156188 Ссылка на комментарий Поделиться на другие сайты More sharing options...
logokiller Опубликовано 16 мая, 2015 Автор Share Опубликовано 16 мая, 2015 (изменено) Не один из вариантов не помог, при помощи программы Shadow пишет файл повреждён, не помогает! Изменено 16 мая, 2015 пользователем logokiller Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 17 мая, 2015 Share Опубликовано 17 мая, 2015 тогда остаётся забыть о файлах. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти