зашифрованы документы

[shturman060173]

Здравствуйте!

По почте было получено сообщение с вложением, после открытия которого все документы и фотографии были зашифрованы.

На рабочий стол выведено сообщение:

  Твои файлы зашифрованы, если хочешь

   всё вернуть, отправь 1 зашифрованный

                файл на эту почту:

            trojanencoder@aol.com

ВНИМАНИЕ!!! у вас есть 1 неделя что бы

  написать мне на почту, по прошествии

этого срока расшифровка станет невозможна!!!!

 

Все зашифрованные файлы имеют расширение вида ".email-trojanencoder.com.ver-CL 0.0.1.0.id-BFHRQIUHCJMYOSBGTHSPKDZSQWSFAEILEFYS-22.06.2015 8@49@348838015.randomname-TXEOWAKPZQAGAXEQFHEQGGDES.VKB.cbf"

 

Провел проверку компьютера Kaspersky Virus Removal Tool 2015 и затем запустил автоматический сборщик логов.

Результаты прикрепляю к сообщению. Очень надеюсь на вашу помощь в расшифровке.

 

CollectionLog-2015.06.23-13.13.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','');
QuarantineFile('C:\Program Files\notepad.exe','');
SetServiceStart('ReimageRealTimeProtector', 4);
DeleteService('ReimageRealTimeProtector');
QuarantineFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','');
TerminateProcessByName('c:\program files\reimage\reimage protector\reisystem.exe');
QuarantineFile('c:\program files\reimage\reimage protector\reisystem.exe','');
TerminateProcessByName('c:\program files\reimage\reimage protector\reiguard.exe');
QuarantineFile('c:\program files\reimage\reimage protector\reiguard.exe','');
DeleteFile('c:\program files\reimage\reimage protector\reiguard.exe','32');
DeleteFile('c:\program files\reimage\reimage protector\reisystem.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','32');
DeleteFile('C:\Program Files\notepad.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
DeleteFile('C:\WINDOWS\Tasks\Reimage Reminder.job','32');
DeleteFile('C:\WINDOWS\Tasks\ReimageUpdater.job','32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32');
DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Сделайте новые логи по правилам

[shturman060173]

Скрипты выполнил в AVZ, сборщик логов потом тоже запускал.

Результаты высылаю.

CollectionLog-2015.06.25-12.30.zip

[thyrex]

Карантин отправьте туда, куда Вам было указано, а не прикрепляйте к сообщению

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[shturman060173]

Высылаю результаты работы Farbar Recovery Scan Tool

FRST.txt

Addition.txt

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:
HKLM\...\Run: [] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p
2015-06-22 10:19 - 2015-06-22 10:19 - 00156286 _____ C:\Program Files\desk1.bmp
2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueennCouuponu
2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueenCoupOn
2015-06-22 09:18 - 2015-06-22 09:18 - 00000000 ____D C:\Program Files\QUeenCuoUpion
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\dieal2deaalIt
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2deealit
2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2dEalito
2015-06-25 11:38 - 2015-01-12 14:00 - 00000000 ____D C:\Program Files\Optimizer Pro 3.26
2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk.jpg
2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk1.bmp
2015-06-22 08:49 - 2015-06-22 10:19 - 0000080 _____ () C:\Program Files\EWZWFXEGDA.MEK
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.
  

[shturman060173]

Высылаю fixlog.txt

Архив с карантином переслал по указанному адресу, получил ответ:

 [KLAN-2920132945] 

"Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.
ReimageReminder.exe
Получен неизвестный файл, он будет передан в Вирусную Лабораторию.
С уважением, Лаборатория Касперского"

Fixlog.txt