shturman060173 Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Здравствуйте! По почте было получено сообщение с вложением, после открытия которого все документы и фотографии были зашифрованы. На рабочий стол выведено сообщение: Твои файлы зашифрованы, если хочешь всё вернуть, отправь 1 зашифрованный файл на эту почту: trojanencoder@aol.com ВНИМАНИЕ!!! у вас есть 1 неделя что бы написать мне на почту, по прошествии этого срока расшифровка станет невозможна!!!! Все зашифрованные файлы имеют расширение вида ".email-trojanencoder.com.ver-CL 0.0.1.0.id-BFHRQIUHCJMYOSBGTHSPKDZSQWSFAEILEFYS-22.06.2015 8@49@348838015.randomname-TXEOWAKPZQAGAXEQFHEQGGDES.VKB.cbf" Провел проверку компьютера Kaspersky Virus Removal Tool 2015 и затем запустил автоматический сборщик логов. Результаты прикрепляю к сообщению. Очень надеюсь на вашу помощь в расшифровке. CollectionLog-2015.06.23-13.13.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files\notepad.exe',''); SetServiceStart('ReimageRealTimeProtector', 4); DeleteService('ReimageRealTimeProtector'); QuarantineFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys',''); TerminateProcessByName('c:\program files\reimage\reimage protector\reisystem.exe'); QuarantineFile('c:\program files\reimage\reimage protector\reisystem.exe',''); TerminateProcessByName('c:\program files\reimage\reimage protector\reiguard.exe'); QuarantineFile('c:\program files\reimage\reimage protector\reiguard.exe',''); DeleteFile('c:\program files\reimage\reimage protector\reiguard.exe','32'); DeleteFile('c:\program files\reimage\reimage protector\reisystem.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','32'); DeleteFile('C:\Program Files\notepad.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr'); DeleteFile('C:\WINDOWS\Tasks\Reimage Reminder.job','32'); DeleteFile('C:\WINDOWS\Tasks\ReimageUpdater.job','32'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Ссылка на комментарий Поделиться на другие сайты More sharing options...
shturman060173 Опубликовано 25 июня, 2015 Автор Share Опубликовано 25 июня, 2015 Скрипты выполнил в AVZ, сборщик логов потом тоже запускал. Результаты высылаю. CollectionLog-2015.06.25-12.30.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 25 июня, 2015 Share Опубликовано 25 июня, 2015 Карантин отправьте туда, куда Вам было указано, а не прикрепляйте к сообщению Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Ссылка на комментарий Поделиться на другие сайты More sharing options...
shturman060173 Опубликовано 26 июня, 2015 Автор Share Опубликовано 26 июня, 2015 Высылаю результаты работы Farbar Recovery Scan Tool FRST.txt Addition.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 26 июня, 2015 Share Опубликовано 26 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p 2015-06-22 10:19 - 2015-06-22 10:19 - 00156286 _____ C:\Program Files\desk1.bmp 2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueennCouuponu 2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueenCoupOn 2015-06-22 09:18 - 2015-06-22 09:18 - 00000000 ____D C:\Program Files\QUeenCuoUpion 2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\dieal2deaalIt 2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2deealit 2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2dEalito 2015-06-25 11:38 - 2015-01-12 14:00 - 00000000 ____D C:\Program Files\Optimizer Pro 3.26 2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk.jpg 2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk1.bmp 2015-06-22 08:49 - 2015-06-22 10:19 - 0000080 _____ () C:\Program Files\EWZWFXEGDA.MEK Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Ссылка на комментарий Поделиться на другие сайты More sharing options...
shturman060173 Опубликовано 29 июня, 2015 Автор Share Опубликовано 29 июня, 2015 Высылаю fixlog.txt Архив с карантином переслал по указанному адресу, получил ответ: [KLAN-2920132945] "Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. ReimageReminder.exeПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского" Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти