НинаГоровая Опубликовано 21 июня, 2015 Share Опубликовано 21 июня, 2015 Здравствуйте. Помогите вылечить комп. CollectionLog-2015.06.21-23.27.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 21 июня, 2015 Share Опубликовано 21 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\asktoolbar4\searchresultstb.dll',''); SetServiceStart('PP Assistant Service', 4); DeleteService('PP Assistant Service'); TerminateProcessByName('c:\program files\napnut\nezavisimo\krip.exe'); QuarantineFile('c:\program files\napnut\nezavisimo\krip.exe',''); DeleteFile('c:\program files\napnut\nezavisimo\krip.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Nezavisimo'); DeleteFile('c:\Program Files\Ask.com\Updater\Updater.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ApnUpdater'); DeleteFile('C:\Program Files\asktoolbar4\searchresultstb.dll','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
НинаГоровая Опубликовано 22 июня, 2015 Автор Share Опубликовано 22 июня, 2015 Кажется, я только что поддержала отечественного производителя))) Re: Убить шифровальщик [KLAN-2891976053]От кого: newvirus@kaspersky.com??Сегодня, 18:54Здравствуйте,Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.krip.exe - Trojan-Ransom.NSIS.Onion.adcДетектирование файла будет добавлено в следующее обновление.searchresultstb.dllПолучен неизвестный файл, он будет передан в Вирусную Лабораторию. RE: Убить шифровальщик [KLAN-2891976053]От кого: newvirus@kaspersky.com?Кому: Нина Горовая?Сегодня, 19:42 Здравствуйте,В присланном Вами файле обнаружено новое вредоносное программное обеспечение.Его детектирование будет включено в очередное обновление антивирусных баз.Благодарим за оказанную помощь.krip.exe - TrojWare.Trojan-Ransom.NSIS.Onion.adc;bcqr00001.ini, bcqr00002.ini, bcqr00003.ini, bcqr00004.ini - Clean;searchresultstb.dll - Clean (Visicom toolbar) CollectionLog-2015.06.22-21.40.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 22 июня, 2015 Share Опубликовано 22 июня, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
НинаГоровая Опубликовано 22 июня, 2015 Автор Share Опубликовано 22 июня, 2015 Воть Frst&Additional.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 22 июня, 2015 Share Опубликовано 22 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION FF Extension: Ask Toolbar - C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\w2zt7h9i.default\Extensions\toolbar@ask.com [2012-11-23] CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - No Path Or update_url value 2015-06-21 22:58 - 2015-06-21 22:58 - 00000000 ____D C:\Device 2015-06-19 18:34 - 2015-06-19 18:34 - 03686454 _____ C:\Documents and Settings\Admin\Application Data\E7478A47E7478A47.bmp 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README9.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README8.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README7.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README6.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README5.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README4.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README3.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README2.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README10.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\All Users\Рабочий стол\README1.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README9.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README8.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README7.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README6.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README5.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README4.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README3.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README2.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README10.txt 2015-06-19 18:34 - 2015-06-19 18:34 - 00000893 _____ C:\Documents and Settings\Admin\Рабочий стол\README1.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README9.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README8.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README7.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README6.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README5.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README4.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README3.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README2.txt 2015-06-19 13:26 - 2015-06-19 13:26 - 00000893 _____ C:\README10.txt 2015-06-19 13:24 - 2015-06-21 23:00 - 00000000 __SHD C:\Documents and Settings\All Users\Application Data\Windows Task: C:\windows\Tasks\Scheduled Update for Ask Toolbar.job => c:\Program Files\Ask.com\UpdateTask.exe Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
НинаГоровая Опубликовано 22 июня, 2015 Автор Share Опубликовано 22 июня, 2015 Ну вот итог. Осталось расшифровать файлы. Поняно что с действующим ключом теперь на саппорт. Но саппорт пусть и в индивидуальном порядке хотя бы помог кому-нить с RSA-дешифрованием?! Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 23 июня, 2015 Share Опубликовано 23 июня, 2015 Но саппорт пусть и в индивидуальном порядке хотя бы помог кому-нить с RSA-дешифрованием?! http://forum.kasperskyclub.ru/index.php?showtopic=46382&page=2 Ссылка на комментарий Поделиться на другие сайты More sharing options...
НинаГоровая Опубликовано 25 июня, 2015 Автор Share Опубликовано 25 июня, 2015 (изменено) Кому интересно, для информации, списалась параллельно с тем самым мудлом, которое распространяет вирус и требует за расшифровку 5000 рубликов, так этот лох даже расшифровать 1 файл в подтверждение, что он это может сделать, не смог! Так что, не платите баблосы этим упырям - КИНУТ! Вот переписка: ------- Пересылаемое сообщение --------От кого: decode decode <files1147@gmail.com>Кому: Нина Горовая <>Дата: Четверг, 25 июня 2015, 8:36 UTCТема: Re: Re[2]: E7C167A22C8E15E9F64A|0 Вам отказано 23 июня 2015 г., 20:30 пользователь Нина Горовая <> написал: Вот вам один файл. Расшифровывайте!Вторник, 23 июня 2015, 4:44 UTC от decode decode <files1147@gmail.com>: Стоимость дешифровки 5000р. Пришлите 1 файл и мы расшифруем в качестве подтверждения того что файлы могут быть восстановлены.В течение от 5 минут до часа с момента оплаты вышлем программу и ключ которая в точности вернет все как было. 2015-06-22 21:00 GMT+00:00 Нина Горовая <>: E7C167A22C8E15E9F64A|0 Изменено 25 июня, 2015 пользователем НинаГоровая Ссылка на комментарий Поделиться на другие сайты More sharing options...
НинаГоровая Опубликовано 27 июля, 2015 Автор Share Опубликовано 27 июля, 2015 И да.. Касперычи мне не смогли помочь после предоставления мной всей необходимой инфы - вот их ответ: Файлы зашифрованы модификацией Trojan-Ransom.Win32.Shade.Используется шифрование AES-256 + RSA шифрование.Дешифровка, к сожалению, невозможна. Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 27 июля, 2015 Share Опубликовано 27 июля, 2015 Печально Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти