Перейти к содержанию

Все файлы зашифрованы

Mr.Bear
 Share

Рекомендуемые сообщения

Mr.Bear Новичок

Mr.Bear

Опубликовано
Опубликовано

На черном экране красными буквами "Внимание!Все файлы вашего компьютера зашиврованы.Подробности в файле README.TXT,который можно найти на всех дисках"

Прошу помощи.

CollectionLog-2015.06.11-20.29.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\SwvUpdater\Updater.exe','');
TerminateProcessByName('c:\documents and settings\all users\application data\windows\csrss.exe');
QuarantineFile('c:\documents and settings\all users\application data\windows\csrss.exe','');
DeleteFile('c:\documents and settings\all users\application data\windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\SwvUpdater\Updater.exe','32');
DeleteFile('C:\windows\Tasks\AmiUpdXp.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи по правилам

Ссылка на комментарий
Поделиться на другие сайты
Mr.Bear Новичок

Mr.Bear

Опубликовано
  • Автор
Опубликовано
Здравствуйте,

 

Это сообщение сформировано автоматической системой присма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме)

выносит Антивирус с последними обновлениями.   

 

csrss.exe - Trojan.Win32.Fsysna.bvqu

 

Детектирование файла будет добавлено в следующее обновление.

 

С уважением, Лаборатория Касперского

 

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700  http://www.kaspersky.ruhttp://www.viruslist.ru"

 

 

Hello,

 

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus

in response to the files (if any are included in the message) with the latest updates installed.   

 

csrss.exe - Trojan.Win32.Fsysna.bvqu

 

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

 

Best Regards, Kaspersky Lab

 

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700  http://www.kaspersky.comhttp://www.viruslist.com"

 

 

--------------------------------------------------------------------------------

[KLAN-2878647570]

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
Mr.Bear Новичок

Mr.Bear

Опубликовано
  • Автор
Опубликовано

CollectionLog-2015.07.09-21.33.zip

 

Новые логи по правилам где?

 

прошу прощения задержку.

перед сборкой логов проверил Dr.Web CureIt.

найдено и вылечено 10 угроз.

прикрепляю логи

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

B92LqRQ.png

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на комментарий
Поделиться на другие сайты
  • 3 weeks later...
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-789336058-1214440339-1644491937-500 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2720585
SearchScopes: HKU\S-1-5-21-789336058-1214440339-1644491937-500 -> {95F663C0-C370-4955-8B39-63069DB1F6C0} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2396973
SearchScopes: HKU\S-1-5-21-789336058-1214440339-1644491937-500 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2720585
SearchScopes: HKU\S-1-5-21-789336058-1214440339-1644491937-500 -> {FA6CC280-3AEA-4DC3-9C5B-9B729779EC31} URL = http://search.microsoft.com/results.aspx?mkt=ru-RU&setlang=ru-RU&q={searchTerms}
BHO: Bestgame Toolbar -> {899cac9d-533d-45c2-8a07-afb42425b544} ->  No File
BHO: MyPlayCityRU Toolbar -> {dfbeb35b-444d-4f25-8d7d-eb2683c206ec} ->  No File
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-789336058-1214440339-1644491937-500 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} -  No File
Toolbar: HKU\S-1-5-21-789336058-1214440339-1644491937-500 -> No Name - {8DEC4B69-27C4-405D-A37D-8D45C83F66AB} -  No File
2015-04-17 18:40 - 2015-04-17 18:40 - 2764854 _____ () C:\Documents and Settings\Администратор\Application Data\94822C4994822C49.bmp
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:65B8AF94
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:6A0A47E7
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:DBC3D477
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:F26F5952
Reboot:

  • Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
Mr.Bear Новичок

Mr.Bear

Опубликовано
  • Автор
Опубликовано

 

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • kiddr
      Вирус-шифровальщик.xtbl, decodefile001@gmail.com или decodefile002@gmail.com
      От kiddr
      Добрый день! Получил по почте письмо от "Бухгалтерии" с прикрепленным архивом (акт передачи и какой то длинный номер), после скачки и извлечения запустил файл. В следствии чего в течении 15 минут на компьютере были зашифрованы все картинки и текстовые файлы-Word в формат .xtbl, а на рабочем столе появилась заставка с координатами вымогателя и сообщение о том что файлы, описанные выше, зашифрованы, плюс текстовый файл формата .txt со следующим текстом:   "Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 1E05A087200D94333D18|0 на электронный адрес decodefile001@gmail.com или decodefile002@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   All the important files on your computer were encrypted. To decrypt the files you should send the following code: 1E05A087200D94333D18|0 to e-mail address decodefile001@gmail.com or decodefile002@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.   Еще последствия: в реестре появились ветки с белебердовым именем, которых до этого не существовало. Файл boot.ini отсутствовал, но вместо него был boot.ini.backup, в котором добавлена еще одна строчка связанная с диском "С", но при этом загрузка Windows происходит в обычном режиме за исключением того что при загрузке Доса показана та самая "допонительная" строчка из boot.ini.backup. Возможность загрузки и восстановления, выбора операционки затенена, плюс выдает ошибку о том что не может найти файл boot.ini, зато может создать новый.    Прикрепляю файлы логов, отчет антивируса и ветку реестра.  
      Так же у меня имеется сам вирус-шифровальщик, при необходимости могу прикрепить "эту программу"
      CollectionLog-2015.09.25-10.15.zip
      cureit.rar
      Подозрительная вещь.Ветка того самого Вируса (Самурай-имя фотографий кота).rar
    • SergeyAO
      Вирус зашифровал файлы .xtbl
      От SergeyAO
      Приветсвую всех.
      Нужна помощь, вчера вирус зашифровал все файлы в основном документы office, на 4 дисках.
      Человеку пришло на почту письмо с документом по работе, но неизвестно от кого, открыли документ пустая страница ничего нет, и через некоторое время на экране сообщение, ваши файлы зашифрованы отправьте код на почту.
       
      Файл был "Здравствуйте.docx" KAV никак не отреагировал, на другой машине где были ограничены права пользователя док не открылся, KAV увидел в "здравствуйте.docx/word/embeddings/oleObject1.bin/C:/Users/836D~1/AppData/Local/Temp/PEWER POINT PRESENTATION.exe".
       
      Kaspersky Virus Removal Tool нашел Trojan-Ransom.Win32.Shade.ur.
      Утилита TDSSKiller для борьбы с руткитами ничего не обнаружил.
       
      Очень много информации, и важных документов, жду помощи, спасибо.
      CollectionLog-2015.09.22-11.30.zip
    • Ak3s
      Вирус зашифровал файлы в .XTBL
      От Ak3s
      Вирус зашифровал 40 GB фотографий. Не знаю что делать...
      Вы - единственная надежда.
      Помогите пожалуйста...
      CollectionLog-2015.07.26-11.44.zip
    • baron_171
      Фотки зашифровались в формат .xtbl
      От baron_171
      Такая проблема: на ком попал вирус, зашифровал все важные для меня фотографии(очень много)...
      Что делать, незнаю..прошу помощи
       
      CollectionLog-2015.07.26-12.15.zip
    • Дмитрий Назаров
      Вирус шифровальщик файлов в .xtbl
      От Дмитрий Назаров
      Добрый день! Прошу помощи в лечении (дешифрации) файлов от вируса шифровальщика.   Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 6A748682D3920B87DFA5|0 на электронный адрес post8881@gmail.com или post24932@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.    
      CollectionLog-2015.07.21-13.34.zip
×
×
  • Создать...