Перейти к содержанию

Важные файлы зашифрованны


Рекомендуемые сообщения

Здравствуйте, поймал вирус, зашифровались все файлы! на рабочем столе поставилась заставка "Внимание! Все важные файлы на всех дисках были зашифрованы. Подробности вы можете прочитать в файлах readme.txt, которые можно найти на дисках."

CollectionLog-2015.07.09-00.38.zip

Изменено пользователем Радий Логачёв
Ссылка на комментарий
Поделиться на другие сайты

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log из папки автологгера на ClearLNK как показано на рисунке
move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebhelper.exe');
 TerminateProcessByName('c:\users\user\appdata\local\smartweb\smartwebapp.exe');
 TerminateProcessByName('c:\program files (x86)\24seven savings\24seven_savings_notification_service.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-10.exe');
 TerminateProcessByName('c:\program files (x86)\cinemaplus-3.2cv21.04\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.exe');
 SetServiceStart('TS888x64', 4);
 SetServiceStart('SPDRIVER_1.42.0.1779', 4);
 SetServiceStart('QMUdisk', 4);
 StopService('AdBlockerService');
 QuarantineFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','');
 QuarantineFile('C:\Users\user\AppData\Roaming\luckysearches\*','');
 QuarantineFile('C:\PROGRA~2\YOUTUB~1*','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\*','');
 QuarantineFile('C:\Program Files (x86)\SensePlus\*','');
 QuarantineFile('C:\Program Files (x86)\iWebar\*','');
 QuarantineFile('C:\Program Files (x86)\AnyProtectEx\*','');
 QuarantineFile('C:\Program Files (x86)\24Seven savings\*','');
 QuarantineFile('C:\iexplore.bat','');
 QuarantineFile('C:\Program Files (x86)\AdBlocker\*','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\Smb_driver_Intel.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\innfd_1_10_0_13.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\TS888x64.sys','');
 QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.7.16066.216\QMUdisk64.sys','');
 QuarantineFile('C:\WINDOWS\system32\CCL.dll','');
 QuarantineFile('C:\Users\user\AppData\Local\SmartWeb\*','');
 QuarantineFile('c:\program files (x86)\cinemaplus-3.2cv21.04\*','');
 DeleteFileMask('c:\program files (x86)\cinemaplus-3.2cv21.04\','*', true, '');
 DeleteDirectory('c:\program files (x86)\cinemaplus-3.2cv21.04\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\Tencent\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\Tencent\ ',' ');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\ ',' ');
 DeleteFile('C:\Users\user\AppData\Local\Yandex\browser.bat','32');
 DeleteFile('C:\Users\user\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\iexplore.bat','32');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_notification_service.job','64');
 DeleteFileMask('C:\Program Files (x86)\24Seven savings\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\24Seven savings\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\24seven_savings_updating_service.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP1.job','64');
 DeleteFileMask('C:\Program Files (x86)\AnyProtectEx\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\AnyProtectEx\ ',' ');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\WINDOWS\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5.job','64');
 DeleteFile('C:\WINDOWS\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user.job','64');
 DeleteFileMask('C:\Program Files (x86)\iWebar\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\iWebar\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_notification_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\24seven_savings_updating_service','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\936023c0-5f54-4371-97a0-5398219cf5ab-10_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\d9dfbb8b-4066-4568-ad92-7abbfea5012d-5_user','64');
 DeleteFileMask('C:\Program Files (x86)\SensePlus\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\SensePlus\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-6','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-1-7','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-11','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\e66b7b7b-97dc-4f40-a87a-4515e63034c4-5_user','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperPro','64');
 DeleteFileMask('C:\Program Files (x86)\ShopperPro\','*', true, '');
 DeleteDirectory('C:\Program Files (x86)\ShopperPro\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\YTAUpdate_logon','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\SPDriver','64');
 DeleteFileMask('C:\PROGRA~2\YOUTUB~1\','*', true, '');
 DeleteDirectory('C:\PROGRA~2\YOUTUB~1\',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{17BF5D82-C054-48AD-83C6-A098FA086CA2}','64');
 DeleteFileMask('C:\Users\user\AppData\Roaming\luckysearches\','*', true, '');
 DeleteDirectory('C:\Users\user\AppData\Roaming\luckysearches\ ',' ');
 DeleteFile('C:\WINDOWS\system32\Tasks\{E3536241-02A2-4379-B32D-B2A5ED23FF8C}','64');
 DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\uni0nst.exe','32');
 DeleteFileMask('c:\program files (x86)\adblocker\','*', true, '');
 DeleteDirectory('c:\program files (x86)\adblocker\ ',' ');
 DeleteFileMask('C:\Users\user\appdata\local\smartweb\','*', true, '');
 DeleteDirectory('C:\Users\user\appdata\local\smartweb\ ',' ');
 DeleteFile('C:\WINDOWS\system32\ccl.dll','32');
 DelBHO('0633EE93-D776-472f-A0FF-E1416B8B2E3D');
 DelBHO('FCE3FA8B-BA81-467C-81D8-E43C00D1BC71');
 DelCLSID('754DF2CE-51E8-4895-B53C-6381418B84AE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SmartWeb');
 DeleteService('TS888x64');
 DeleteService('SPDRIVER_1.42.0.1779');
 DeleteService('QMUdisk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится. 
Для создания архива с карантином выполните скрипт:
 
begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7za.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.
 
Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал Kaspersky Virus Desk.
Порядок действий на портале Kaspersky Virus Desk::

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

Полученный через электронную почту ответ сообщите в этой теме.
 
Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O2 - BHO: YTAHelperBHO - {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} - (no file)
O4 - HKLM\..\Run: [SmartWeb] C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O4 - Startup: SmartWeb.lnk = C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e686631368c41a2128f86a9e0c8bac22&text=
 

 
Сделайте новые логи по правилам (только пункт 2).

+ логи MBAM и ADwCleaner

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • skyinfire
      От skyinfire
      Здравствуйте.
      Столкнулись с тем же шифровальщиком - куча файлов, даже фильмов, переименована в *.Bpant.
      Сканирование Касперским (одноразовым) ничего не находит.
      Порт RDP нестандартный (хотя что мешает сканеру найти этот порт - просто на все стучаться, пока RDP не ответит?)
      А вот пароль непростой, 20 символов, хоть и словами с регистрами.
      Другие компы в сети не заражены, хотя на текущем есть общая папка без пароля.
      В первую очередь хочется понять, как произошло заражение, возможен ли взлом (использование уязвимостей Win Server 2019, давно не обновляли?), чтобы предотвратить такое в будущем.
      Во вторую - почему Касперский ничего не находит? Как понять, где источник заражения?
      Bpant_Help.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
×
×
  • Создать...