Sanch26 0 Опубликовано 19 мая, 2015 Share Опубликовано 19 мая, 2015 На моем компьютере вирус зашифровал все фотографии. Изменил название файлов и формат на XTBL. Никаких надписей на рабочем столе нет, как у других пользователей. Просто вместо фотографии, которая стояла на заставке зеленый экран. В папках, где находятся фотографии вирус создал текстовые файлы "README.txt" со следующим содержанием: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 4755D06FD20E6AA5354F|0 на электронный адрес decode00001@gmail.com или decode00002@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. All the important files on your computer were encrypted. To decrypt the files you should send the following code: 4755D06FD20E6AA5354F|0 to e-mail address decode00001@gmail.com or decode00002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data. - Провел проверку с Kaspersky Virus Removal Tool 2015 Вложил файл протоколов (логов) Спасибо за внимание. CollectionLog-2015.05.19-03.03.zip report1.log report2.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 19 мая, 2015 Share Опубликовано 19 мая, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Aleksandr\appdata\roaming\c731200',''); QuarantineFile('C:\Users\ALEKSA~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE',''); DelCLSID('{11292110-6F8D-4D56-863C-44902A1E7880}'); DelCLSID('{00890530-6A9F-4be2-B1BB-73F01E2BB986}'); DelBHO('{15DEE173-1BE9-4424-81E0-58A87076E9B1}'); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\WindowsUpdate\Updater.exe',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Eczuzy.exe',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\themes\Vczuzp.exe',''); QuarantineFile('C:\Users\Aleksandr\AppData\Roaming\WindowsUpdate\Live.exe',''); DeleteService('BDMNetMon'); DeleteService('bd0002'); DeleteService('bd0001'); SetServiceStart('BDMWrench', 4); DeleteService('BDMWrench'); SetServiceStart('BDArKit', 4); DeleteService('BDArKit'); SetServiceStart('bd0003', 4); DeleteService('bd0003'); DeleteService('BDMRTP'); DeleteService('BDKVRTP'); DeleteFile('C:\Windows\system32\DRIVERS\bd0003.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDArKit.sys','32'); DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32'); DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BaiduSdSvc.exe','32'); DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BaiduAnSvc.exe','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\WindowsUpdate\Live.exe','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\themes\Vczuzp.exe','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\Microsoft\Windows\Eczuzy.exe','32'); DeleteFile('C:\Users\Aleksandr\AppData\Roaming\WindowsUpdate\Updater.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Live Installer'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vczuzp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Eczuzy','command'); DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\websafe\WebMonBHO.dll','32'); DeleteFile('C:\Program Files\Baidu\BaiduSd\2.1.0.3086\BDShellExt.dll','32'); DeleteFile('C:\Program Files\Baidu\BaiduAn\3.0.0.3971\BDSWShellExt.dll','32'); DeleteFile('C:\Users\ALEKSA~1\AppData\Roaming\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Windows\Tasks\UpdaterEX.job','32'); DeleteFile('C:\Windows\system32\Tasks\UpdaterEX','32'); DeleteFile('C:\Windows\system32\Tasks\Windows Updater','32'); DeleteFile('C:\Users\Aleksandr\appdata\roaming\c731200','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
Sanch26 0 Опубликовано 19 мая, 2015 Автор Share Опубликовано 19 мая, 2015 Сделал. c731200 - Worm.Win32.Ngrbot.apec KLAN-2779520573 CollectionLog-2015.05.20-00.36.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Roman_Five 598 Опубликовано 19 мая, 2015 Share Опубликовано 19 мая, 2015 Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. \\ пофиксите в Hijackthis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text={searchTerms} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text={searchTerms} R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text= R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file) O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - (no file) http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496+ приложите логи FRST http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=647696 Цитата Ссылка на сообщение Поделиться на другие сайты
Sanch26 0 Опубликовано 19 мая, 2015 Автор Share Опубликовано 19 мая, 2015 Сделал. Файл FRST.txt не прикрепляется - ошибка 403 ClearLNK-20.05.2015_01-31.log Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 20 мая, 2015 Share Опубликовано 20 мая, 2015 Файл FRST.txt не прикрепляется - ошибка 403 А если заархивировать? Цитата Ссылка на сообщение Поделиться на другие сайты
Sanch26 0 Опубликовано 20 мая, 2015 Автор Share Опубликовано 20 мая, 2015 сделал FRST.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 20 мая, 2015 Share Опубликовано 20 мая, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKU\S-1-5-21-4091854595-4110617113-3405040346-1000\...\Winlogon: [Shell] C:\Windows\explorer.exe [2613248 2009-07-14] (Microsoft Corporation) <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION SearchScopes: HKU\S-1-5-21-4091854595-4110617113-3405040346-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text={searchTerms} SearchScopes: HKU\S-1-5-21-4091854595-4110617113-3405040346-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text= DefaultPrefix: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=eb541c609875f6073378b55670ecbb50&text= <==== ATTENTION OPR Extension: (Info Enhancer for Chrome) - C:\Users\Aleksandr\AppData\Roaming\Opera Software\Opera Stable\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-12-26] CHR Extension: (No Name) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\dldcbakcjliccckkmfjcblhciilpdcil [2014-12-26] S1 bd0001; system32\DRIVERS\bd0001.sys [X] S1 bd0002; system32\DRIVERS\bd0002.sys [X] S1 BDMWrench; system32\DRIVERS\BDMWrench.sys [X] R1 BDEnhanceBoost; C:\Windows\System32\drivers\BDEnhanceBoost.sys [61256 2014-09-19] (Baidu) 2015-05-19 01:07 - 2015-04-03 17:57 - 00000000 ____D () C:\Program Files\SaveSense C:\Users\Aleksandr\AppData\Local\Temp\gl5f7.exe Task: {CEE51124-51FD-4FEC-81B7-9263B6550843} - \Windows Updater No Task File <==== ATTENTION Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Sanch26 0 Опубликовано 21 мая, 2015 Автор Share Опубликовано 21 мая, 2015 Сделал Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 23 мая, 2015 Share Опубликовано 23 мая, 2015 С расшифровкой не поможем Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.