Sanch26 Опубликовано 19 мая, 2015 Share Опубликовано 19 мая, 2015 На моем компьютере вирус зашифровал все фотографии. Изменил название файлов и формат на XTBL. Никаких надписей на рабочем столе нет, как у других пользователей. Просто вместо фотографии, которая стояла на заставке зеленый экран. В папках, где находятся фотографии вирус создал текстовые файлы "README.txt" со следующим содержанием: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 4755D06FD20E6AA5354F|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 4755D06FD20E6AA5354F|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. - Провел проверку с Kaspersky Virus Removal Tool 2015 Вложил файл протоколов (логов) Спасибо за внимание. CollectionLog-2015.05.19-03.03.zip report1.log report2.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 19 мая, 2015 Share Опубликовано 19 мая, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Aleksandr\appdata\roaming\c731200',''); QuarantineFile('C:\Users\ALEKSA~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE',''); DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}'); DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}'); DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}'); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Eczuzy.exe',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\themes\Vczuzp.exe',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\WindowsUpdate\Live.exe',''); DeleteService('BDMNetMon'); DeleteService('bd0002'); DeleteService('bd0001'); SetServiceStart('BDMWrench', 4); DeleteService('BDMWrench'); SetServiceStart('BDArKit', 4); DeleteService('BDArKit'); SetServiceStart('bd0003', 4); DeleteService('bd0003'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32'); DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\themes\Vczuzp.exe','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Eczuzy.exe','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\WindowsUpdate\Updater.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vczuzp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Eczuzy','command'); DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll','32'); DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll','32'); DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32'); DeleteFile('C:\Users\ALEKSA~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\UpdaterEX.job','32'); DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','32'); DeleteFile('C:\Windows\system32\Tasks\Windows Updater','32'); DeleteFile('C:\Users\Aleksandr\appdata\roaming\c731200','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sanch26 Опубликовано 19 мая, 2015 Автор Share Опубликовано 19 мая, 2015 Сделал. c731200 - Worm.Win32.Ngrbot.apec KLAN-2779520573 CollectionLog-2015.05.20-00.36.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Roman_Five Опубликовано 19 мая, 2015 Share Опубликовано 19 мая, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. \\ пофиксите в Hijackthis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file) http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496+ приложите логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sanch26 Опубликовано 19 мая, 2015 Автор Share Опубликовано 19 мая, 2015 Сделал. Файл FRST.txt не прикрепляется - ошибка 403 ClearLNK-20.05.2015_01-31.log Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 20 мая, 2015 Share Опубликовано 20 мая, 2015 Файл FRST.txt не прикрепляется - ошибка 403 А если заархивировать? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sanch26 Опубликовано 20 мая, 2015 Автор Share Опубликовано 20 мая, 2015 сделал FRST.rar Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 20 мая, 2015 Share Опубликовано 20 мая, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKU\S-1-5-21-4091854595-4110617113-3405040346-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2613248 2009-07-14] (Microsoft Corporation) <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-4091854595-4110617113-3405040346-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text={searchTerms} SearchScopes: HKU\S-1-5-21-4091854595-4110617113-3405040346-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text= DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text= <==== ATTENTION OPR Extension: (Info Enhancer for Chrome) - C:\Users\Aleksandr\AppData\Roaming\Opera Software\Opera Stable\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-12-26] CHR Extension: (No Name) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-12-26] S1 bd0001; system32\DRIVERS\bd0001.sys [X] S1 bd0002; system32\DRIVERS\bd0002.sys [X] S1 BDMWrench; system32\DRIVERS\BDMWrench.sys [X] R1 BDEnhanceBoost; C:\Windows\System32\drivers\BDEnhanceBoost.sys [61256 2014-09-19] (Baidu) 2015-05-19 01:07 - 2015-04-03 17:57 - 00000000 ____D () C:\Program Files\SaveSense C:\Users\Aleksandr\AppData\Local\Temp\gl5f7.exe Task: {CEE51124-51FD-4FEC-81B7-9263B6550843} - \Windows Updater No Task File <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sanch26 Опубликовано 21 мая, 2015 Автор Share Опубликовано 21 мая, 2015 Сделал Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 23 мая, 2015 Share Опубликовано 23 мая, 2015 С расшифровкой не поможем Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти