shturman060173 0 Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Здравствуйте! По почте было получено сообщение с вложением, после открытия которого все документы и фотографии были зашифрованы. На рабочий стол выведено сообщение: Твои файлы зашифрованы, если хочешь всё вернуть, отправь 1 зашифрованный файл на эту почту: trojanencoder@aol.com ВНИМАНИЕ!!! у вас есть 1 неделя что бы написать мне на почту, по прошествии этого срока расшифровка станет невозможна!!!! Все зашифрованные файлы имеют расширение вида ".email-trojanencoder.com.ver-CL 0.0.1.0.id-BFHRQIUHCJMYOSBGTHSPKDZSQWSFAEILEFYS-22.06.2015 8@49@348838015.randomname-TXEOWAKPZQAGAXEQFHEQGGDES.VKB.cbf" Провел проверку компьютера Kaspersky Virus Removal Tool 2015 и затем запустил автоматический сборщик логов. Результаты прикрепляю к сообщению. Очень надеюсь на вашу помощь в расшифровке. CollectionLog-2015.06.23-13.13.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 июня, 2015 Share Опубликовано 24 июня, 2015 Выполните скрипт в AVZ begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe',''); QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe',''); QuarantineFile('C:\Program Files\notepad.exe',''); SetServiceStart('ReimageRealTimeProtector', 4); DeleteService('ReimageRealTimeProtector'); QuarantineFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys',''); TerminateProcessByName('c:\program files\reimage\reimage protector\reisystem.exe'); QuarantineFile('c:\program files\reimage\reimage protector\reisystem.exe',''); TerminateProcessByName('c:\program files\reimage\reimage protector\reiguard.exe'); QuarantineFile('c:\program files\reimage\reimage protector\reiguard.exe',''); DeleteFile('c:\program files\reimage\reimage protector\reiguard.exe','32'); DeleteFile('c:\program files\reimage\reimage protector\reisystem.exe','32'); DeleteFile('C:\WINDOWS\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gt.sys','32'); DeleteFile('C:\Program Files\notepad.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr'); DeleteFile('C:\WINDOWS\Tasks\Reimage Reminder.job','32'); DeleteFile('C:\WINDOWS\Tasks\ReimageUpdater.job','32'); DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe','32'); DeleteFile('C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Компьютер перезагрузится.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи по правилам Цитата Ссылка на сообщение Поделиться на другие сайты
shturman060173 0 Опубликовано 25 июня, 2015 Автор Share Опубликовано 25 июня, 2015 Скрипты выполнил в AVZ, сборщик логов потом тоже запускал. Результаты высылаю. CollectionLog-2015.06.25-12.30.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 июня, 2015 Share Опубликовано 25 июня, 2015 Карантин отправьте туда, куда Вам было указано, а не прикрепляйте к сообщению Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
shturman060173 0 Опубликовано 26 июня, 2015 Автор Share Опубликовано 26 июня, 2015 Высылаю результаты работы Farbar Recovery Scan Tool FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 июня, 2015 Share Опубликовано 26 июня, 2015 Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool: CreateRestorePoint: HKLM\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/?aff=p 2015-06-22 10:19 - 2015-06-22 10:19 - 00156286 _____ C:\Program Files\desk1.bmp 2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueennCouuponu 2015-06-22 09:19 - 2015-06-22 09:19 - 00000000 ____D C:\Program Files\QueenCoupOn 2015-06-22 09:18 - 2015-06-22 09:18 - 00000000 ____D C:\Program Files\QUeenCuoUpion 2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\dieal2deaalIt 2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2deealit 2015-06-19 08:55 - 2015-06-19 08:55 - 00000000 ____D C:\Program Files\deal2dEalito 2015-06-25 11:38 - 2015-01-12 14:00 - 00000000 ____D C:\Program Files\Optimizer Pro 3.26 2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk.jpg 2015-06-22 10:19 - 2015-06-22 10:19 - 0156286 _____ () C:\Program Files\desk1.bmp 2015-06-22 08:49 - 2015-06-22 10:19 - 0000080 _____ () C:\Program Files\EWZWFXEGDA.MEK Reboot: Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
shturman060173 0 Опубликовано 29 июня, 2015 Автор Share Опубликовано 29 июня, 2015 Высылаю fixlog.txt Архив с карантином переслал по указанному адресу, получил ответ: [KLAN-2920132945] "Здравствуйте, Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями. ReimageReminder.exeПолучен неизвестный файл, он будет передан в Вирусную Лабораторию.С уважением, Лаборатория Касперского" Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.