Ляна Опубликовано 18 июня, 2015 Share Опубликовано 18 июня, 2015 Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: E2A73810D83E5E6B6751|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее следовала инструкции и сканировала программой FARBAR Первый отчёт ниже. Со вторым возникла проблема, сейчас залью Сообщение от модератора Mark D. Pearlstone Перемещено из темы Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 18 июня, 2015 Share Опубликовано 18 июня, 2015 Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ляна Опубликовано 19 июня, 2015 Автор Share Опубликовано 19 июня, 2015 Здравствуйте! Пару месяцев назад приобрела компьютер и с целью защиты установила пробную версию Avast. До поры до времени работой была довольна. После того как срок лицензии истек, столкнулась с огромным потоком ненужной рекламы и постоянной атакой баннеров. Удалила Avast и установила Eset Nod32. Активировать этот антивирус не удалось,и сканирование компьютера шло не полным ходом. Решила избавиться и от него (в меню Удалить/Изменить программу Eset уже нет, но в папке Program Files локального диска C частично сохранились его файлы.) На ПК стоит ADGUARD. Вчера на рабочем столе появилось следующее: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код:E2A73810D83E5E6B6751I0 на электронный адрес files1147@gmail.com или post100023@gmail.com. Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему , кроме безвозвратной потери. Следовала вашей инструкции. Сбор логов прилагаю ниже Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 19 июня, 2015 Share Опубликовано 19 июня, 2015 Не вижу логов Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ляна Опубликовано 19 июня, 2015 Автор Share Опубликовано 19 июня, 2015 (изменено) Здравствуйте! На рабочем столе: Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: E2A73810D83E5E6B6751|0 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. Следовала вашей инструкции, ниже прилагаю сбор логов Изменено 19 июня, 2015 пользователем Ляна Ссылка на комментарий Поделиться на другие сайты More sharing options...
Mark D. Pearlstone Опубликовано 19 июня, 2015 Share Опубликовано 19 июня, 2015 Следовала вашей инструкции, ниже прилагаю сбор логов Логов нету. Порядок оформления запроса о помощи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ляна Опубликовано 19 июня, 2015 Автор Share Опубликовано 19 июня, 2015 EXPLORER,MOZILLA,YANDEX.GOOGLE.CROSSBROWSE - НИ ЧЕРЕЗ ОДИН ИЗ ЭТИХ БРАУЗЕРОВ СБОР ЛОГОВ ОТПРАВИТЬ НЕВОЗМОЖНО Сообщение от модератора Mark D. Pearlstone Не нужно создавать дубли тем. Темы объединены. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 19 июня, 2015 Share Опубликовано 19 июня, 2015 @Ляна, кнопка Расширенный режим поможет прикрепить логи Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ляна Опубликовано 24 июня, 2015 Автор Share Опубликовано 24 июня, 2015 Здравствуйте! На рабочем столе появилось следующее сообщение: Ваши файлы зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: E2A73810D83E5E6B6751I0 на электрнный адрес files1147@gmail.com или post100023@gmail.com Далее вы получите все необходимые инструкции. Попытки расшифровать самостоятельно не приведут ни к чему,кроме безвозвратной потери информации P.S. На ПК была установлена пробная версия Avast, по истечении срока скачала Eset, но активизировать его не удалось и он не сканировал компьютер, поэтому удалила(некоторые его файлы сохранились) . Защиту от рекламных баннеров на 80% обеспечивает Adguard. Сообщение от модератора Mark D. Pearlstone Темы объединены CollectionLog-2015.06.19-21.40.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Меня терзают смутные сомнения, что это не Ваши логи. Ибо в них засилье рекламы и никаких следов шифровальщика Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\AsusTek\appdata\local\smartweb\__u.exe',''); QuarantineFile('C:\Program Files (x86)\Shop and Save Up\c3702cb4-0787-40a3-abc2-6170f9bb3bd0-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\Shop and Save Up\c3702cb4-0787-40a3-abc2-6170f9bb3bd0-1-6.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-7.exe',''); QuarantineFile('C:\Users\AsusTek\AppData\Local\31850\Updater.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-6.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-4.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-3.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-11.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-10.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-1-6.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV14.06\569ad400-4bee-4f1b-b37a-564f5e948abc-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-5.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-3.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-11.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-1-7.exe',''); QuarantineFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-1-6.exe',''); DelBHO('{0C23C6AC-A416-4762-B422-DF6A4385A0B6}'); DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}'); DelBHO('{8E05D172-708E-4A88-A3AC-45A711DA7D3E}'); QuarantineFile('C:\Program Files (x86)\DEalaExpreusss\mLkdaXZ5wyq4BU.dll',''); QuarantineFile('C:\Program Files (x86)\DDeeAllEoxPrEoss\zcd8miOQ98e7sL.dll',''); QuarantineFile('C:\iexplore.bat',''); QuarantineFile('C:\Users\AsusTek\AppData\Roaming\cpuminer\sgminer\sgminer.cmd',''); QuarantineFile('C:\Users\AsusTek\AppData\Local\gmsd_ru_005010002\upgmsd_ru_005010002.exe',''); QuarantineFile('C:\Users\AsusTek\AppData\Local\Kometa\kometaup.exe',''); QuarantineFile('C:\Users\AsusTek\AppData\Local\Yandex\browser.bat',''); QuarantineFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe',''); QuarantineFile('C:\Program Files (x86)\WindeskWinsearch\Windesk Winsearch.exe',''); SetServiceStart('{e2590817-40ca-4d03-8e1f-67fd8517bae9}Gw64', 4); DeleteService('{e2590817-40ca-4d03-8e1f-67fd8517bae9}Gw64'); SetServiceStart('skinapp', 4); DeleteService('skinapp'); QuarantineFile('C:\Program Files (x86)\Edu App\updateEduApp.exe',''); QuarantineFile('C:\Program Files (x86)\Air Globe\updateAirGlobe.exe',''); SetServiceStart('Update Edu App', 4); DeleteService('Update Edu App'); DeleteService('Update Air Globe'); DeleteService('gupdatem'); DeleteService('gupdate'); QuarantineFile('C:\Program Files (x86)\Google\Update\GoogleUpdate.exe',''); SetServiceStart('IHProtect Service', 4); DeleteService('IHProtect Service'); QuarantineFile('C:\Windows\system32\drivers\{f17f19ac-f9b8-4e8d-b04e-93f39064f7e1}w64.sys',''); QuarantineFile('C:\Windows\system32\drivers\{e2590817-40ca-4d03-8e1f-67fd8517bae9}Gw64.sys',''); QuarantineFile('C:\Windows\skinapp.sys',''); QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll',''); TerminateProcessByName('c:\users\asustek\appdata\local\gmsd_ru_005010002\upgmsd_ru_005010002.exe'); QuarantineFile('c:\users\asustek\appdata\local\gmsd_ru_005010002\upgmsd_ru_005010002.exe',''); TerminateProcessByName('c:\users\asustek\appdata\local\skinapp\skinapp.exe'); QuarantineFile('c:\users\asustek\appdata\local\skinapp\skinapp.exe',''); TerminateProcessByName('c:\program files (x86)\miuitab\protectservice.exe'); QuarantineFile('c:\program files (x86)\miuitab\protectservice.exe',''); TerminateProcessByName('c:\users\asustek\appdata\local\kometa\kometaup.exe'); QuarantineFile('c:\users\asustek\appdata\local\kometa\kometaup.exe',''); TerminateProcessByName('c:\users\asustek\appdata\roaming\2fee44c0-1433865486-81e4-3327-54a050ec3654\hnskbc15.tmp'); QuarantineFile('c:\users\asustek\appdata\roaming\2fee44c0-1433865486-81e4-3327-54a050ec3654\hnskbc15.tmp',''); TerminateProcessByName('C:\Windows\System32\cpuminer-gw64.exe'); TerminateProcessByName('c:\program files (x86)\crossbrowse\crossbrowse\application\crossbrowse.exe'); QuarantineFile('c:\program files (x86)\crossbrowse\crossbrowse\application\crossbrowse.exe',''); QuarantineFile('C:\Windows\System32\cpuminer-gw64.exe',''); DeleteFile('C:\Windows\System32\cpuminer-gw64.exe','32'); DeleteFile('c:\program files (x86)\crossbrowse\crossbrowse\application\crossbrowse.exe','32'); DeleteFile('c:\users\asustek\appdata\roaming\2fee44c0-1433865486-81e4-3327-54a050ec3654\hnskbc15.tmp','32'); DeleteFile('c:\users\asustek\appdata\local\kometa\kometaup.exe','32'); DeleteFile('c:\program files (x86)\miuitab\protectservice.exe','32'); DeleteFile('c:\users\asustek\appdata\local\skinapp\skinapp.exe','32'); DeleteFile('c:\users\asustek\appdata\local\gmsd_ru_005010002\upgmsd_ru_005010002.exe','32'); DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32'); DeleteFile('C:\Windows\skinapp.sys','32'); DeleteFile('C:\Windows\system32\drivers\{e2590817-40ca-4d03-8e1f-67fd8517bae9}Gw64.sys','32'); DeleteFile('C:\Windows\system32\drivers\{f17f19ac-f9b8-4e8d-b04e-93f39064f7e1}w64.sys','32'); DeleteFile('C:\Program Files (x86)\Google\Update\GoogleUpdate.exe','32'); DeleteFile('C:\Program Files (x86)\Air Globe\updateAirGlobe.exe','32'); DeleteFile('C:\Program Files (x86)\Edu App\updateEduApp.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_2510EFDCA6B4B052FA860EE1DD90E3D3'); DeleteFile('C:\Program Files (x86)\WindeskWinsearch\Windesk Winsearch.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windesk Winsearch'); DeleteFile('C:\Program Files (x86)\YTDownloader\YTDownloader.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','YTDownloader'); DeleteFile('C:\Users\AsusTek\AppData\Local\Yandex\browser.bat','32'); DeleteFile('C:\Users\AsusTek\AppData\Local\Kometa\kometaup.exe','32'); DeleteFile('C:\Users\AsusTek\AppData\Local\gmsd_ru_005010002\upgmsd_ru_005010002.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','skinapp'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010002.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gpuminer'); DeleteFile('C:\Users\AsusTek\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32'); DeleteFile('C:\iexplore.bat','32'); DeleteFile('C:\Program Files (x86)\DDeeAllEoxPrEoss\zcd8miOQ98e7sL.dll','32'); DeleteFile('C:\Program Files (x86)\DEalaExpreusss\mLkdaXZ5wyq4BU.dll','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\08d6f50a-1641-485c-9513-276ced7a12aa-1-6.job','64'); DeleteFile('C:\Windows\Tasks\08d6f50a-1641-485c-9513-276ced7a12aa-1-7.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-11.exe','32'); DeleteFile('C:\Windows\Tasks\08d6f50a-1641-485c-9513-276ced7a12aa-11.job','64'); DeleteFile('C:\Windows\Tasks\08d6f50a-1641-485c-9513-276ced7a12aa-3.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-3.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV19.05\08d6f50a-1641-485c-9513-276ced7a12aa-5.exe','32'); DeleteFile('C:\Windows\Tasks\08d6f50a-1641-485c-9513-276ced7a12aa-5.job','64'); DeleteFile('C:\Windows\Tasks\08d6f50a-1641-485c-9513-276ced7a12aa-5_user.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV14.06\569ad400-4bee-4f1b-b37a-564f5e948abc-7.exe','32'); DeleteFile('C:\Windows\Tasks\569ad400-4bee-4f1b-b37a-564f5e948abc-7.job','64'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-1-6.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-1-6.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-1-7.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-10.exe','32'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-10_user.job','64'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-1-7.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-11.exe','32'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-11.job','64'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-3.job','64'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-4.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-3.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-4.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-5.exe','32'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-5.job','64'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-5_user.job','64'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-6.exe','32'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-6.job','64'); DeleteFile('C:\Windows\Tasks\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-7.job','64'); DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64'); DeleteFile('C:\Users\AsusTek\AppData\Local\31850\Updater.exe','32'); DeleteFile('C:\Program Files (x86)\CinemaPlus-4.5vV17.06\5a1fc33b-895f-465f-9f47-dfb5b8d0c3c1-7.exe','32'); DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64'); DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64'); DeleteFile('C:\Program Files (x86)\Shop and Save Up\c3702cb4-0787-40a3-abc2-6170f9bb3bd0-1-6.exe','32'); DeleteFile('C:\Windows\Tasks\c3702cb4-0787-40a3-abc2-6170f9bb3bd0-1-6.job','64'); DeleteFile('C:\Windows\Tasks\c3702cb4-0787-40a3-abc2-6170f9bb3bd0-1-7.job','64'); DeleteFile('C:\Program Files (x86)\Shop and Save Up\c3702cb4-0787-40a3-abc2-6170f9bb3bd0-1-7.exe','32'); DeleteFile('C:\Users\AsusTek\appdata\local\smartweb\__u.exe','32'); DeleteFile('C:\Users\AsusTek\AppData\Local\Temp\nsb268A.tmp\blowfish.dll','32'); DeleteFile('C:\Users\AsusTek\AppData\Local\Temp\nsd116A.tmp\blowfish.dll','32'); DeleteFile('C:\Users\AsusTek\AppData\Local\Temp\nsh1F5E.tmp\blowfish.dll','32'); DeleteFile('C:\Users\AsusTek\AppData\Local\Temp\nsl8D80.tmp\blowfish.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе. Распакуйте архив с утилитой в отдельную папку. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG. Прикрепите этот отчет к своему следующему сообщению. Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
Ляна Опубликовано 23 июля, 2015 Автор Share Опубликовано 23 июля, 2015 высылаю отчет ClearLNK-23.07.2015_17-09.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 23 июля, 2015 Share Опубликовано 23 июля, 2015 Просто невероятно трудно заметить Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти