Перейти к содержанию
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Ваши файлы были зашифрованы.

sid1295
 Поделиться

Рекомендуемые сообщения

thyrex

thyrex

Опубликовано
Опубликовано

Ace Stream удалите через Установку программ

 

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
QuarantineFile('C:\Users\Ромик\appdata\roaming\x11\engine.exe','');
QuarantineFile('C:\Users\Ромик\appdata\local\kometa\kometaup.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
TerminateProcessByName('c:\users\Ромик\appdata\roaming\acewebextension\updater\ace_web_extension.exe');
QuarantineFile('c:\users\Ромик\appdata\roaming\acewebextension\updater\ace_web_extension.exe','');
DeleteFile('c:\users\Ромик\appdata\roaming\acewebextension\updater\ace_web_extension.exe','32');
DeleteFile('c:\programdata\windows\csrss.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AceWebException');
DeleteFile('C:\Users\Ромик\appdata\local\kometa\kometaup.exe','32');
DeleteFile('C:\Users\Ромик\appdata\roaming\x11\engine.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Сделайте новые логи по правилам

sid1295

sid1295

Опубликовано
  • Автор
Опубликовано

Не могу найти как Прислать запрошенный карантин

thyrex

thyrex

Опубликовано
Опубликовано

Хех, забыл поправить шаблон

 

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

sid1295

sid1295

Опубликовано
  • Автор
Опубликовано
[KLAN-2930016384]
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.    

ace_web_extension.exe

Вредоносный код в файле не обнаружен.

csrss.exe - Trojan-Ransom.Win32.Shade.w

Детектирование файла будет добавлено в следующее обновление.

engine.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.wzo

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

kometaup.exe

Получен неизвестный файл, он будет передан в Вирусную Лабораторию.

С уважением, Лаборатория Касперского
thyrex

thyrex

Опубликовано
Опубликовано

Удалите в МВАМ все, кроме

PUP.Optional.APNToolBar.A, C:\Program Files (x86)\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe, , [85573d83226895a1af3a3a2a3bc7a25e],
Hacktool.CheatEngine, C:\Program Files (x86)\R.G. Freedom\Starpoint Gemini 2\Starpoint Gemini 2 Trainer (+7) [ver 1.0001_64 bit] {Baracuda}.EXE, , [d3094a76deac290d979cb785d92758a8],
Hacktool.CheatEngine, C:\Program Files (x86)\R.G. Freedom\Starpoint Gemini 2\Starpoint Gemini 2 V1.0004 Trainer +6 MrAntiFun.EXE, , [b72549776525c5710c27cc70ff012dd3],
Trojan.MSIL, C:\metasploit\apps\pro\msf3\data\templates\dotnetmem.dll, , [d903ead6ccbe41f5359fce4312ef21df],
Backdoor.Bot.gen, C:\metasploit\apps\pro\msf3\data\templates\template_x86_windows.exe, , [10cc6f516426a393f8e2cfca10f1c937],
Hacktool.CheatEngine, D:\Tropico 5\Tropico 5 V1.00 Trainer +1 MrAntiFun B.EXE, , [c01c3c843a508fa7d95ab389b14f7d83],
Hacktool.CheatEngine, D:\Tropico 5\Tropico 5 V1.04 Trainer +4 MrAntiFun.EXE, , [944819a7e7a312245ad967d590706e92],

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vovans
      xtbl
      Автор vovans
      Здравствуйте! Вирус шифровальщик зашифровал весь домашний фото и видеоархив.Сын удалил все вирусы и переустановил Винду.
      Название вируса не сохранил,не знаю что делать. Может есть какая надежда. Стоит Anti-virus 6.0 1688-000451-1CAB33D7.
      ++ESOAXTI-mH+-uhRET6nBLflYWVIDFR6Q7o9t-sNgI=.56697943D750721BF718.xtbl.zip
    • avanGARd62
      Вирус зашифровал файлы в *XTBL
      Автор avanGARd62
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL. На рабочем столе создалось несколько файлов README, в которых содержится призыв отправить злоумышленникам на e-mail код для получения дальнейших инструкций.
      Прикрепляю лог, полученный при сканировании (согласно инструкции).
       
      Пожалуйста, помогите.
      CollectionLog-2015.08.13-23.13.zip
    • Людмила 84
      Файлы зашифрованы в формат XTBL
      Автор Людмила 84
      Файлы зашифрованы в формат XTBL, нужен,как вернуть их в прежний формат. Проблема появилась после скачивания книги с непонятным форматом. Вкладываю в сообщение файл протоколов (логов) CollectionLog-2015.08.15-11.17.zip. Обнаружен файл txt с текстом: Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: 77CF48B1169A0CBE123D|79|2|2 на электронный адрес decodefiles1@gmail.com или decodefiles@india.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: 77CF48B1169A0CBE123D|79|2|2 to e-mail address decodefiles1@gmail.com or decodefiles@india.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your dat CollectionLog-2015.08.15-11.17.zip
    • wild_difi
      файлы зашифрованы в *XTBL
      Автор wild_difi
      Вирус-шифровальщик зашифровал многочисленные файлы на ноутбуке, сделав расширение XTBL.Так же на рабочем столе присутствуют файлы readme с инструкцией отправки кода но почту!Прикрепляю лог, полученный при сканировании (согласно инструкции).
      Помогите
      CollectionLog-2015.08.15-02.47.zip
    • warg24
      Шифровка всех важных файлов компьютера неведомой заразой.
      Автор warg24
      Ребята кто нибудь, помогите. Включил вечером комп. начались проблемы. Сначала не удавалось к сети интернет подключиться, все запрашивал пароль от wi-fi. Потом через некоторое время появилась черная заставка с неприятным текстом от том что все файлы были зашифрованы((( все они теперь с расширением xtbl... Также имеются текстовые файлы с таким вот текстом. 
       
       Ваши файлы были зашифрованы.
      Чтобы расшифровать их, Вам необходимо отправить код: FAA4417C82D5F25AC88F|0 на электронный адрес decode010@gmail.com или decode1110@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.     All the important files on your computer were encrypted. To decrypt the files you should send the following code: FAA4417C82D5F25AC88F|0 to e-mail address decode010@gmail.com or decode1110@gmail.com . Then you will receive all necessary instructions. All the attempts of decryption by yourself will result only in irrevocable loss of your data.     Что делать? Подскажите!
×
×
  • Создать...