Вирус-шифратор

[benjoy]

Привет всем!

 

Собственно говоря вот проблема

 

Ваши файлы были зашифрованы.

Чтобы расшифровать их, Вам необходимо отправить код:

85A9337EEF31914401B2|0

на электронный адрес decode0987@gmail.com или decode098@gmail.com .

Далее вы получите все необходимые инструкции.  

Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.

CollectionLog-2015.06.17-21.50.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.resworb.bat','');
QuarantineFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.erolpxei.bat','');
QuarantineFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.emorhc.bat','');
DeleteFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.emorhc.bat','32');
DeleteFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
DeleteFile('C:\Users\Карина\AppData\Roaming\Browsers\exe.resworb.bat','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи по правилам

[benjoy]

KLAN-2879295200

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. 

exe.emorhc.bat,
exe.erolpxei.bat,
exe.resworb.bat

 

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

С уважением, Лаборатория Касперского

ClearLNK-17.06.2015_23-27.log

Addition.txt

FRST.txt

Изменено 17 июня, 2015 пользователем benjoy

[thyrex]

Новые логи по правилам где?

[benjoy]

логи по правилам, что это значит,может я чего-то не понимаю? я после проверки, сделал еще раз логи по скрипту, что Вы присылали, но архив не появился.

[thyrex]

Autologger еще раз запустите и будут Вам новые логи

[benjoy]

А запускать с тем же скриптом, что Вы скидывали?

[Mark D. Pearlstone]

@benjoy, сделайте лог, как в первом сообщении.

[benjoy]

вот сделал

CollectionLog-2015.06.18-21.23.zip

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
2015-06-05 21:16 - 2015-06-05 21:16 - 06220854 _____ C:\Users\Карина\AppData\Roaming\A7628396A7628396.bmp
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README9.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README8.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README7.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README6.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README5.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README4.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README3.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README2.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README10.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Карина\Desktop\README1.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README9.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README8.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README7.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README6.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README5.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README4.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README3.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README2.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README10.txt
2015-06-05 21:16 - 2015-06-05 21:16 - 00000893 _____ C:\Users\Public\Desktop\README1.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README9.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README8.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README7.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README6.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README5.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README4.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README3.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README2.txt
2015-06-05 14:01 - 2015-06-05 14:01 - 00000893 _____ C:\README10.txt
2015-06-05 14:00 - 2015-06-07 16:55 - 00000000 __SHD C:\Users\Все пользователи\Windows
2015-06-05 14:00 - 2015-06-07 16:55 - 00000000 __SHD C:\ProgramData\Windows
C:\Users\Карина\AppData\Roaming\Browsers
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[benjoy]

вот

Fixlog.txt

[thyrex]

С расшифровкой не поможем.

 

По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии