Зашифрованы файлы .docx .xlsx . Все файлы стали с расширением .dbf

13 июня, 2015

Добрый день.

Вчера после скачивания фото с сайта и открытия на своем компьютере все файлы зашифровались и стали с расширением dbf. На рабочем столе появилась картинка с уведомление. Все ваши файлы были зашифрованы отправьте один из файлов на moshiax@aol.com . У вас есть одна неделя после истечения срока восстановка файлов будет невозможна. Помогите пожалуйста в решении данного вопроса.

13 июня, 2015

http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

14 июня, 2015

Добрый день. Создал файл протоколов (логов). Вложил в этом письме. Извените за неверное оформление.

CollectionLog-2015.06.13-14.21.zip

14 июня, 2015

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\opera\program\plugins\npapihelper.dll','');
QuarantineFile('C:\Users\l.sklar\appdata\roaming\java\update\download\cache\csrss.exe','');
QuarantineFile('C:\Users\l.sklar\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','');
QuarantineFile('C:\Users\l.sklar\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','');
DeleteFile('C:\Users\l.sklar\appdata\local\google\chrome\user data\default\extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\plg\npapihelper.dll','32');
DeleteFile('C:\Users\l.sklar\appdata\local\microsoft\internet explorer\extensions\apihelper.dll','32');
DeleteFile('C:\Users\l.sklar\appdata\roaming\java\update\download\cache\csrss.exe','32');
DeleteFile('C:\Program Files\opera\program\plugins\npapihelper.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

14 июня, 2015

KLAN-2867944937

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

apihelper.dll,
npapihelper.dll,
npapihelper_0.dll

Вредоносный код в файлах не обнаружен.

csrss.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cxa

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 http://www.kaspersky.ru http://www.viruslist.ru"

Hello,

This message has been generated by an automatic message response system. The message contains details about verdicts that have been returned by Anti-Virus in response to the files (if any are included in the message) with the latest updates installed.

apihelper.dll,
npapihelper.dll,
npapihelper_0.dll

No malicious code has been found in these files.

csrss.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.cxa

New potentially risk software was found in this file. It's detection will be included in the next update. Thank you for your help.

Best Regards, Kaspersky Lab

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com http://www.viruslist.com"

CollectionLog-2015.06.14-15.41.zip

14 июня, 2015

c:\quarantine.zip выложите на rghost.ru и пришлите ссылку на скачивание мне в личные сообщения

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

14 июня, 2015

Выслан Вам личным сообщением архив quarantine.zip . Так же высылаю файлы созданные программой FRST

Addition.txt

FRST.txt

14 июня, 2015

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  No File
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-68186710-845154947-565996019-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://hptds7.ru/
BHO: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-68186710-845154947-565996019-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: APIHelper - C:\Users\l.sklar\AppData\Roaming\Mozilla\Firefox\Profiles\98j8w3ss.default\Extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0} [2015-05-11]
CHR Extension: (APIHelper) - C:\Users\l.sklar\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke [2015-05-11]
CHR Extension: (Ultimate Discounter) - C:\Users\l.sklar\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2015-05-01]
OPR Extension: (APIHelper) - C:\Users\l.sklar\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-05-11]
OPR Extension: (Ultimate Discounter) - C:\Users\l.sklar\AppData\Roaming\Opera Software\Opera Stable\Extensions\hnbekdjpdldejohkmdonijjglpohocgo [2015-05-01]
2015-06-11 06:58 - 2015-06-12 17:28 - 0000080 _____ () C:\Program Files\ADHJRCRGXM.XVD
2015-06-12 17:28 - 2015-06-12 17:28 - 0156286 _____ () C:\Program Files\desk.jpg
2015-06-12 17:28 - 2015-06-12 17:28 - 0156286 _____ () C:\Program Files\desk1.bmp
Reboot:

Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

14 июня, 2015

Высылаю Вам файл Fixlog.txt

Fixlog.txt

14 июня, 2015

Мусор основательно почистили.

С расшифровкой не поможем

Зашифрованы файлы .docx .xlsx . Все файлы стали с расширением .dbf

Рекомендуемые сообщения

romasherbyna

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

romasherbyna

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

romasherbyna

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

romasherbyna

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

romasherbyna

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum