bamert 0 Опубликовано 23 июня, 2015 Share Опубликовано 23 июня, 2015 Текст сообщения о заражении и шифровке:"Ваши файлы были зашифрованы.Чтобы расшифровать их, Вам необходимо отправить код:AFCB2F56507E06934358|0на электронный адрес files1147@gmail.com или post100023@gmail.com .Далее вы получите все необходимые инструкции.Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."На компьютере установлен лицензионный антивирус Касперского 6.0: на вирус ругнулся, обнаружил заражение в etc\hosts, восстановил "голый" hostsПопытка запуска дешифраторов ни к чему не привела:xoristdecryptor.exe не обнаружил заражённых файловrectordecryptor.exe обнаружил объекты (40977), но не расшифровал.Заранее спасибо за помощь. Заражённые файлы находилсь по пути C:\Program Files\Napnut\Nezavisimo + в профиле пользователя находился tmp-файл PS: Запрос на stopgpcode@kaspersky.com вместе с примером зашифрованного файла отправлен - этого достаточно или надо в техподдержку обращаться каким-то иным способом ? CollectionLog-2015.06.23-19.20.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 23 июня, 2015 Share Опубликовано 23 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Windows\csrss.exe',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem'); DeleteFile('C:\ProgramData\Windows\csrss.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
bamert 0 Опубликовано 24 июня, 2015 Автор Share Опубликовано 24 июня, 2015 Скрипты выполнены. Ответ от Лабаратории Касперского: KLAN-2911488508 csrss.exe - Trojan.Win32.Fsysna.cchnДетектирование файла будет добавлено в следующее обновление. Логи AutoLogger прикладываю во вложении. CollectionLog-2015.06.24-09.13.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
bamert 0 Опубликовано 24 июня, 2015 Автор Share Опубликовано 24 июня, 2015 Выполнено. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: 2015-06-23 15:37 - 2015-06-23 15:37 - 03148854 _____ C:\Users\КОРОБЧЕНКО В С\AppData\Roaming\40ECBC6840ECBC68.bmp 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README9.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README8.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README7.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README6.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README5.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README4.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README3.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README2.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README10.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\КОРОБЧЕНКО В С\Desktop\README1.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README9.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README8.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README7.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README6.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README5.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README4.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README3.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README2.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README10.txt 2015-06-23 15:37 - 2015-06-23 15:37 - 00000893 _____ C:\Users\Public\Desktop\README1.txt 2015-06-23 14:15 - 2015-06-24 08:51 - 00000000 __SHD C:\Users\Все пользователи\Windows 2015-06-23 14:15 - 2015-06-24 08:51 - 00000000 __SHD C:\ProgramData\Windows 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README9.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README8.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README7.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README6.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README5.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README4.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README3.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README2.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000893 _____ C:\README10.txt 2015-06-23 14:15 - 2015-06-23 14:15 - 00000000 ____D C:\Program Files\Napnut Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
bamert 0 Опубликовано 24 июня, 2015 Автор Share Опубликовано 24 июня, 2015 Выполнено! Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Мусор почистили. С расшифровкой не поможем. По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии Цитата Ссылка на сообщение Поделиться на другие сайты
bamert 0 Опубликовано 24 июня, 2015 Автор Share Опубликовано 24 июня, 2015 @thyrex, благодарю! По имеющейся информации техподдержка ЛК оказывает индивидуально помощь в расшифровке обладателям действующей лицензии А куда именно обращаться ? Зарегистрировался на https://my.kaspersky.com По-умолчанию тема у всех возможных запросов - вопросы по лицензиям. 1-й запрос по восстановлению кода активации создал вчера вечером - ответа не дождался - нашёл код активации. Закрыл запрос. 2-й запрос по расшифровке данных - также ждёт ответа технической поддержки. Заранее спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Ждите, ответят, наверное. Я вот тоже жду ответа от вирлаба со вчерашнего дня Цитата Ссылка на сообщение Поделиться на другие сайты
bamert 0 Опубликовано 30 июня, 2015 Автор Share Опубликовано 30 июня, 2015 Ответили. Судя по всему по запросу отправленному в первый день. Прислали дешифратор. Большую часть файлов удалось расшифровать, за что им Спасибо! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.